JP7074371B2 - Information management terminal device - Google Patents
Information management terminal device Download PDFInfo
- Publication number
- JP7074371B2 JP7074371B2 JP2020103046A JP2020103046A JP7074371B2 JP 7074371 B2 JP7074371 B2 JP 7074371B2 JP 2020103046 A JP2020103046 A JP 2020103046A JP 2020103046 A JP2020103046 A JP 2020103046A JP 7074371 B2 JP7074371 B2 JP 7074371B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- health information
- distribution
- analysis
- terminal device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明はAI(人工知能)解析等を用いたデータマイニング等の情報処理の対象となる情報の取得、蓄積、配信に関わる。より詳細には、人と物の健康情報を扱う機器、システムにおける、情報取得、蓄積、配信、解析、可視化等の一連の処理に関わる。 The present invention relates to acquisition, storage, and distribution of information to be processed for information processing such as data mining using AI (artificial intelligence) analysis. More specifically, it is involved in a series of processes such as information acquisition, storage, distribution, analysis, and visualization in devices and systems that handle human and physical health information.
AI等でビックデータ等から有効な情報を抽出するためには、データの品質・取得手段、取得日付が正確に記録された情報である必要があることが望ましい。さらに人に関する情報では個人情報保護法等により個人が特定できるデータの管理・配信にも厳格な記録・管理が要求されている。 In order to extract effective information from big data or the like with AI or the like, it is desirable that the data quality, acquisition means, and acquisition date must be accurately recorded. Furthermore, regarding information about people, strict recording and management is required for the management and distribution of personally identifiable data under the Personal Information Protection Law and the like.
例えば、特許文献1には、コンテンツを悪用しようとするユーザから正当なユーザを保護するために、隠しメモリ領域にコンテンツ情報を、可視メモリ領域に、隠しメモリ領域に保存されたコンテンツ情報へのアクセスのための情報をそれぞれ保存する、ポータブルメモリデバイスが記載されている。
For example, in
特許文献2には、従来とは異なる方式により、ユーザによるコンテンツの利用可否を制御するために、ユーザ端末が、コンテンツを再生又は実行する際に、当該コンテンツの利用権限があるか否かを判定し、コンテンツの利用権限がないと判定された場合に、ライセンス管理装置へと有効期限の設定されたライセンス情報を要求し、受信したライセンス情報をもって、有効期限までの間、当該コンテンツの利用権限があると判定する、コンテンツ保護システムが記載されている。
In
特許文献3には、安全性、機能性を高めるために、暗号・復号鍵がメディア自体に保存され、外部デバイスからアクセスを困難にし、証明書を有するホストデバイスのみが鍵へのアクセスが可能となる、ストレージデバイスが記載されている。 In Patent Document 3, in order to enhance security and functionality, the encryption / decryption key is stored in the media itself, making it difficult to access from an external device, and only the host device having the certificate can access the key. The storage device is listed.
特許文献4には、メモリーカードにアクセスするホストコントローラを用いて、記憶装置に格納されている暗号化コンテンツにアクセスするために、ホストコントローラと著作権保護チップ内の回路とを接続するセレクタと、記憶装置に格納されている暗号化コンテンツ鍵、復号鍵生成情報、及び共有秘密情報が格納されるレジスタと、アクセス手段がハードディスクに格納されている暗号化コンテンツを復号したコンテンツにアクセスする場合に、ホストコントローラと通信を行って、レジスタに格納されている暗号化コンテンツ鍵及び復号鍵生成情報をホストコントローラに送信する通信回路と、を具備する、著作権保護チップが記載されている。 Patent Document 4 describes a selector that connects a host controller and a circuit in a copyright protection chip in order to access encrypted contents stored in a storage device by using a host controller that accesses a memory card. When the access means accesses the encrypted content key stored in the storage device, the decryption key generation information, and the register storing the shared secret information, and the content obtained by decrypting the encrypted content stored in the hard disk. Described is a copyright protection chip comprising a communication circuit that communicates with the host controller and transmits the encrypted content key and the decryption key generation information stored in the register to the host controller.
特許文献5には、コンテンツの利用状況に応じて適切な保護を行うために、コンテンツ利用端末が、コンテンツ提供端末から受信したコンテンツを利用する際に複製や改変等の利用履歴情報を記録し、所定の時間間隔でコンテンツ提供端末へ送信、コンテンツ提供端末がそれを受信して、その利用履歴情報と予め設定されている利用条件と保護パターンに基づいて保護レベルを決定し、それに対応した保護処理を行った保護済コンテンツをコンテンツ利用端末へと配信する、コンテンツ保護システムが記載されている。 In Patent Document 5, in order to provide appropriate protection according to the usage status of the content, the content usage terminal records usage history information such as duplication and modification when using the content received from the content providing terminal. It is sent to the content providing terminal at a predetermined time interval, the content providing terminal receives it, determines the protection level based on the usage history information and the preset usage conditions and protection pattern, and the corresponding protection processing. Describes a content protection system that delivers the protected content that has been used to the content user terminal.
特許文献6には、デジタルコンテンツの違法な配給を抑止するために、ユーザの身元が組み込まれた電子透かしをデジタルコンテンツに埋め込み、ユーザへと提供する、デジタルコンテンツ保護装置が記載されている。 Patent Document 6 describes a digital content protection device that embeds a digital watermark incorporating a user's identity in the digital content and provides it to the user in order to prevent illegal distribution of the digital content.
特許文献7には、端末でのコンテンツの不正コピーを抑止するために、ライセンスサーバから取得したライセンスに含まれるコンテンツ鍵を用いて暗号化コンテンツを復号し再生するとともに、該ライセンスに含まれるユーザ情報を再生されたコンテンツに電子透かしとして挿入するコンテンツ再生手段を有する、コンテンツ保護機能付き端末装置が記載されている。 In Patent Document 7, in order to prevent unauthorized copying of the content on the terminal, the encrypted content is decrypted and reproduced using the content key included in the license acquired from the license server, and the user information included in the license is described. Described is a terminal device with a content protection function, which has a content reproduction means for inserting a digital watermark into the reproduced content.
上述したように、従来技術はコンテンツ保護の対象がライセンスを有したオーディオ・ビデオコンテンツであるものが殆どで、IoTやビックデータの対象となる人や物が生成する生体・行動・環境・機器状態・機器稼働などの多様なデータを想定していなかった。また、クラウドや管理サーバ主体のコンテンツ保護の技術が殆どであり、個人がデータの秘匿性を判断する個人情報保護の視点での技術は皆無といってよいほどであった。さらにバイタルサインセンサ等の多様なセンサで取得されるデータをビックデータやAIの解析対象として用いる場合は、そのデータの信頼性が大変重要であるが、多くはセンサで取得したデータをBLE(Bluetooth(登録商標) Low Energy)やWiFiでスマートフォンなどの端末に送り、更にそのままクラウドに送って処理するのが一般的であり、端末での改竄に関しては特に注意が払われていなかった。スマートフォンやタブレット型端末に多く用いられるAndroid(登録商標)等の処理ソフトは比較的オープンであり、近年指紋認証などのセキュリティ向上が進んでいるが、秘匿性の高い個人健康情報を生涯分蓄積するには、多様なアプリケーションソフトが動作するスマートフォンなどの端末は必ずしも安全とは言えないのが現状である。また、端末に個人健康情報等を蓄積した場合に、端末を買い替えた場合のデータの移動などはユーザ任せとなっている。 As mentioned above, most of the conventional techniques are audio / video content for which the target of content protection is a license, and the living body / behavior / environment / device state generated by the person or object subject to IoT or big data.・ We did not anticipate various data such as equipment operation. In addition, most of the content protection technologies are based on the cloud and management servers, and it can be said that there is no technology from the viewpoint of personal information protection in which an individual judges the confidentiality of data. Furthermore, when data acquired by various sensors such as vital sign sensors is used as big data or AI analysis target, the reliability of the data is very important, but in most cases, the data acquired by the sensor is used for BLE (Bluetooth). (Registered trademark) Low Energy) or WiFi is generally used to send data to a terminal such as a smartphone, and then send it to the cloud as it is for processing, and no particular attention has been paid to falsification on the terminal. Processing software such as Android (registered trademark), which is often used for smartphones and tablet terminals, is relatively open, and security improvements such as fingerprint authentication have been progressing in recent years, but highly confidential personal health information is accumulated for a lifetime. At present, terminals such as smartphones running various application software are not always safe. Further, when personal health information or the like is stored in the terminal, it is left to the user to move the data when the terminal is replaced.
そこで、本発明では、スマートフォンや、PC、サーバのようなデバイスにより、データを所有する個人や法人(情報オーナと呼ぶ)が主体的かつセキュアに情報を管理する手段を提供することを課題とする。 Therefore, it is an object of the present invention to provide a means for an individual or a corporation (called an information owner) who owns data to independently and securely manage information by using a device such as a smartphone, a PC, or a server. ..
上記課題を解決するために、本発明に係る情報管理端末装置は、
管理対象とする第1の情報を取得する情報取得手段と、前記第1の情報、及び前記第1の情報に対する付加情報である第2の情報を蓄積する情報蓄積手段と、蓄積メディアと、を備える情報管理端末装置であって、
前記蓄積メディアが、前記情報管理端末装置を前記情報蓄積手段として動作させるプログラムを含む特定プログラムのみがアクセス可能な秘匿領域と、前記特定プログラム以外のプログラムもアクセス可能な通常領域と、を有し、
前記情報取得手段が、前記第2の情報として、日時・時刻記録の付与を行い、
前記情報蓄積手段が、前記第1の情報又は前記第1の情報を参照可能なリンクと、前記第2の情報又は前記第2の情報を参照可能なリンクの前記通常領域への逐次的な蓄積を行い、
前記秘匿領域が、前記第1の情報及び/又は前記第2の情報の改竄を検出するためのデータ改竄検出パラメタを保持することを特徴とする。
In order to solve the above problems, the information management terminal device according to the present invention is
An information acquisition means for acquiring the first information to be managed, an information storage means for accumulating the first information and a second information which is additional information to the first information, and a storage medium. It is an information management terminal device that is provided.
The storage medium has a secret area that can be accessed only by a specific program including a program that operates the information management terminal device as the information storage means, and a normal area that can be accessed by programs other than the specific program.
The information acquisition means adds a date / time / time record as the second information.
The information storage means sequentially stores the first information or the link that can refer to the first information and the link that can refer to the second information or the second information in the normal region. And
The secret area is characterized by holding a data tampering detection parameter for detecting tampering with the first information and / or the second information.
これにより、日付や内容に改竄の検出があった場合に検出が可能な情報を、端末装置を利用する情報オーナの手元にコンパクトに蓄積でき、情報オーナ主導の情報活用が実現できる。 As a result, information that can be detected when falsification is detected in the date or content can be compactly stored in the hand of the information owner who uses the terminal device, and information utilization led by the information owner can be realized.
本発明の好ましい形態では、前記データ改竄検出パラメタが、前記第1の情報及び/又は前記第2の情報を用いて、前記第1の情報及び/又は前記第2の情報に対する改竄の有無を検出するための情報を生成する鍵であることを特徴とする。
このように、データの改竄の有無を検出するための情報を生成する鍵をデータ改竄検出パラメタとすることで、秘匿領域に記録可能なデータ容量が限られる場合においても、多くのデータを取り扱うことができる。
In a preferred embodiment of the present invention, the data tampering detection parameter detects the presence or absence of tampering with respect to the first information and / or the second information by using the first information and / or the second information. It is characterized by being a key to generate information for the purpose of doing so.
In this way, by using the key to generate information for detecting the presence or absence of data tampering as the data tampering detection parameter, a large amount of data can be handled even when the data capacity that can be recorded in the concealed area is limited. Can be done.
本発明の好ましい形態では、前記秘匿領域に、前記特定プログラムの改竄検出を行うためのプログラム改竄検出パラメタを含み、
前記プログラム改竄検出パラメタを用いた前記特定プログラムの改竄検出処理を行う、プログラム改竄検出手段を備えることを特徴とする。
これにより、情報の取得・蓄積を行うプログラムの改竄も防ぐことが出来るため、情報の信頼性を飛躍的に高めることができる。
In a preferred embodiment of the present invention, the concealed area includes a program tampering detection parameter for detecting tampering with the specific program.
It is characterized by comprising a program tampering detection means for performing tampering detection processing of the specific program using the program tampering detection parameter.
As a result, falsification of the program for acquiring and accumulating information can be prevented, and the reliability of the information can be dramatically improved.
本発明の好ましい形態では、前記プログラム改竄検出手段が前記特定プログラムの改竄検出処理を定期的に行い、
前記特定プログラムの改竄を検出した際に、前回の前記特定プログラムの改竄検出処理を実行した時点から前記プログラムの改竄を検出した時点までに蓄積された前記第1の情報及び前記第2の情報の削除又は回復を行うことを特徴とする。
これにより、プログラムに改竄が行われた可能性のある情報を削除し、蓄積した情報の信頼性を確保することができる。なお、ここでの健康情報及び健康情報通帳の回復は、予め他の端末装置やサーバ装置へと健康情報や健康情報通帳のバックアップを保存しておき、それを取得することによって実現できる。
In a preferred embodiment of the present invention, the program tampering detection means periodically performs tampering detection processing of the specific program.
When the falsification of the specific program is detected, the first information and the second information accumulated from the time when the previous falsification detection process of the specific program is executed to the time when the falsification of the program is detected. It is characterized by deleting or recovering.
As a result, information that may have been tampered with in the program can be deleted, and the reliability of the accumulated information can be ensured. The recovery of the health information and the health information passbook here can be realized by saving a backup of the health information and the health information passbook in another terminal device or server device in advance and acquiring the backup.
本発明の好ましい形態では、前記データ改竄検出パラメタを用いた前記第1の情報及び/又は前記第2の情報の改竄検出処理を行うデータ改竄検出手段を備え、
前記データ改竄検出手段が前記第1の情報及び/又は前記第2の情報の改竄を検出した際に、前回の前記第1の情報及び/又は前記第2の情報の改竄検出処理を実行した時点から前記第1の情報及び/又は前記第2の情報の改竄を検出した時点までに蓄積された前記第1の情報及び前記第2の情報の削除又は回復を行うことを特徴とする。
これにより、改竄の可能性のあるデータの削除や回復を確実に行い、信頼性の低いデータを確実に排することができる。
In a preferred embodiment of the present invention, the data tampering detecting means for performing the tampering detection processing of the first information and / or the second information using the data tampering detection parameter is provided.
When the data falsification detecting means detects falsification of the first information and / or the second information, the time when the previous falsification detection process of the first information and / or the second information is executed. It is characterized in that the first information and / or the second information accumulated up to the time when the falsification of the first information and / or the second information is detected is deleted or recovered.
As a result, it is possible to reliably delete or recover data that may be tampered with, and to reliably eliminate unreliable data.
本発明の好ましい形態では、前記情報管理端末装置が、前記情報蓄積手段で蓄積した前記第1の情報及び前記第2の情報から配信対象情報を選択して出力する配信手段を更に備え、
前記配信手段が、選択した前記配信対象情報の秘匿レベルを設定する秘匿レベル設定手段と、前記秘匿レベルを付加情報として前記配信対象情報に付加して出力する手段と、を有することを特徴とする。
これにより、蓄積した情報を他の端末などに送信し、積極的に活用することができる。
In a preferred embodiment of the present invention, the information management terminal device further includes a distribution means for selecting and outputting distribution target information from the first information and the second information accumulated by the information storage means.
The distribution means includes a concealment level setting means for setting a concealment level of the selected distribution target information, and a means for adding the concealment level as additional information to the distribution target information and outputting the concealment level. ..
As a result, the accumulated information can be transmitted to other terminals and the like and actively utilized.
本発明の好ましい形態では、前記秘匿レベルが、
前記配信対象情報を暗号化せずに送信するクラス0と、
前記配信対象情報の暗号化を行った状態で送信するクラス1と、
前記配信対象情報を暗号化し、出力先での複製を禁止し、前記配信対象情報の有効期限を設定して送信するクラス2と、
前記配信対象情報を暗号化し、出力先での複製の禁止、前記配信対象情報に対する任意の処理によって生じる処理結果情報の取り扱いの制限、前記配信対象情報の有効期限を設定して送信するクラス3と、を含むことを特徴とする。
これにより、配信する健康情報の秘匿性をルール化でき、広く一般のサーバに配信する従来型や、配信先での健康情報管理を情報オーナが制御するための配信情報生成が可能になる。
In a preferred embodiment of the invention, the concealment level is
Class 0, which transmits the distribution target information without encryption, and
Class 3 that encrypts the distribution target information, prohibits duplication at the output destination, restricts the handling of processing result information caused by arbitrary processing on the distribution target information, and sets an expiration date of the distribution target information for transmission. , Is included.
As a result, the confidentiality of the health information to be distributed can be ruled, and it becomes possible to generate distribution information for the information owner to control the conventional type of distribution to a general server and the management of health information at the distribution destination.
本発明の好ましい形態では、前記第2の情報が、前記配信手段による出力の履歴、前記配信手段による出力先を特定する情報、前記秘匿レベル、前記配信手段による出力先での処理結果のうち、少なくとも一つを含むことを特徴とする。
これにより、受信した健康情報の解析や再配信、消去などが、記録として残り、配信元の情報オーナによる検証が容易になりシステムの信頼性が飛躍的に高まる。
In a preferred embodiment of the present invention, the second information is a history of output by the distribution means, information for specifying an output destination by the distribution means, a confidentiality level, and a processing result at the output destination by the distribution means. It is characterized by containing at least one.
As a result, analysis, redistribution, erasure, etc. of received health information remain as a record, facilitating verification by the information owner of the distribution source, and dramatically improving the reliability of the system.
本発明の好ましい形態では、前記第1の情報が、人及び/又は物の健康に関する情報であることを特徴とする。
これにより、人や物の健康状態というセキュアに取り扱う必要のある情報を、適切に取り扱うことができる。
In a preferred embodiment of the present invention, the first information is information about the health of a person and / or a thing.
As a result, information that needs to be handled securely, such as the health condition of people and things, can be handled appropriately.
本発明の他の形態に係る情報管理端末装置は、
他の端末装置より配信される第1の情報、及び前記第1の情報に対する付加情報である第2の情報を受信する受信手段と、前記第1の情報、及び前記第2の情報の解析を行う解析手段と、前記解析手段による解析結果の前記他の端末装置への送信及び/又は表示を行う出力手段と、蓄積メディアと、を備える情報管理端末装置であって、
前記蓄積メディアが、前記情報管理端末装置を前記受信手段と、前記解析手段と、前記出力手段と、として動作させるプログラムを含む特定プログラムのみがアクセス可能な秘匿領域と、前記特定プログラム以外のプログラムもアクセス可能な通常領域と、を有し、
前記受信手段が、前記第1の情報及び前記第2の情報に付与された秘匿レベルの判定を行う秘匿レベル判定手段を有し、
前記解析手段及び前記出力手段が、前記秘匿レベルに従って前記第1の情報、前記第2の情報、及び前記解析結果を取り扱い、前記秘匿領域が、前記特定プログラムの改竄検出を行うためのプログラム改竄検出パラメタを含み、
前記プログラム改竄検出パラメタを用いた前記特定プログラムの改竄検出を行うプログラム改竄検出手段を備えることを特徴とする、情報管理端末装置。
これにより、プログラムの改竄を防ぎ、秘匿レベルに反した情報やその解析結果の取り扱いが行われるようなリスクを排除することができる。
The information management terminal device according to another embodiment of the present invention is
The receiving means for receiving the first information distributed from the other terminal device and the second information which is additional information to the first information, the first information, and the analysis of the second information. An information management terminal device including an analysis means to be performed, an output means for transmitting and / or displaying an analysis result by the analysis means to the other terminal device, and a storage medium.
The storage media has a secret area accessible only by a specific program including a program that operates the information management terminal device as the receiving means, the analysis means, and the output means, and programs other than the specific program. With an accessible normal area,
The receiving means has a concealment level determining means for determining the concealment level given to the first information and the second information.
The analysis means and the output means handle the first information, the second information, and the analysis result according to the concealment level, and the concealment area detects tampering with the specific program. Including parameters
An information management terminal device comprising a program tampering detection means for detecting tampering with the specific program using the program tampering detection parameter.
As a result, it is possible to prevent falsification of the program and eliminate the risk that information contrary to the confidentiality level and its analysis result are handled.
本発明の好ましい形態では、前記解析手段が、前記解析の履歴情報又は前記解析の履歴情報を参照可能なリンクを前記通常領域への蓄積し、
前記秘匿領域が、前記履歴情報の改竄を検出するためのデータ改竄検出パラメタを保持することを特徴とする。
これにより、解析の履歴情報を改竄検出可能な状態で蓄積し、配信元の情報オーナによる検証が容易になり、情報の取り扱いに関する信頼性が飛躍的に高まる。
In a preferred embodiment of the present invention, the analysis means accumulates the history information of the analysis or a link that can refer to the history information of the analysis in the normal region.
The secret area is characterized by holding a data falsification detection parameter for detecting falsification of the history information.
As a result, the analysis history information is accumulated in a state in which falsification can be detected, verification by the information owner of the distribution source becomes easy, and the reliability regarding the handling of information is dramatically improved.
本発明の好ましい形態では、前記解析手段が前記解析の履歴情報の改竄を検出した際に、前回の前記解析の履歴情報の改竄検出処理を実行した時点から前記解析の履歴情報の改竄を検出した時点までに蓄積された前記解析の履歴情報の削除又は回復を行うことを特徴とする。
これにより、改竄の可能性のあるデータの削除や回復を確実に行い、信頼性の低いデータを確実に排することができる。
In a preferred embodiment of the present invention, when the analysis means detects falsification of the history information of the analysis, the falsification of the history information of the analysis is detected from the time when the falsification detection process of the history information of the previous analysis is executed. It is characterized by deleting or recovering the history information of the analysis accumulated up to the time point.
As a result, it is possible to reliably delete or recover data that may be tampered with, and to reliably eliminate unreliable data.
本発明の好ましい形態では、前記秘匿レベルが、
前記第1の情報、及び前記第2の情報を暗号化せずに取り扱うクラス0と、
前記第1の情報、及び前記第2の情報の暗号化を行った状態で取り扱うクラス1と、
前記第1の情報、及び前記第2の情報を暗号化し、出力先での複製を禁止し、前記第1の情報、及び前記第2の情報の有効期限を設定して取り扱うクラス2と、
前記第1の情報、及び前記第2の情報を暗号化し、出力先での複製の禁止、前記解析結果の取り扱いの制限、前記第1の情報、及び前記第2の情報の有効期限を設定して取り扱うクラス3と、を含むことを特徴とする。
これにより、情報やその解析結果の秘匿性をルール化でき、広く一般のサーバに配信する従来型や、配信先での健康情報管理を情報オーナが制御するための配信情報生成が可能になる。
In a preferred embodiment of the invention, the concealment level is
Class 0 that handles the first information and the second information without encryption, and
The first information and the second information are encrypted, and duplication at the output destination is prohibited, the handling of the analysis result is restricted, and the expiration date of the first information and the second information is set. It is characterized by including the class 3 handled by the user.
As a result, the confidentiality of information and its analysis results can be ruled, and it becomes possible to generate distribution information for the information owner to control the conventional type of distribution to a general server and the management of health information at the distribution destination.
本発明の好ましい形態では、前記受信手段が、他の端末装置より前記解析結果を受信し、
前記解析手段が、前記解析結果の再解析を行うことを特徴とする。
これにより、解析結果から更に詳細な解析結果を得る、別の観点での解析結果を得る、といったように、多様な解析を、秘匿レベルに従って、すなわち、情報オーナの意向に従って行うことができる。
In a preferred embodiment of the present invention, the receiving means receives the analysis result from another terminal device and receives the analysis result.
The analysis means is characterized in that the analysis result is reanalyzed.
As a result, various analyzes can be performed according to the confidentiality level, that is, according to the intention of the information owner, such as obtaining a more detailed analysis result from the analysis result or obtaining an analysis result from another viewpoint.
本発明の好ましい形態では、前記第1の情報が、人及び/又は物の健康に関する情報であることを特徴とする。
これにより、人や物の健康状態というセキュアに取り扱う必要のある情報を、適切に取り扱うことができる。
In a preferred embodiment of the present invention, the first information is information about the health of a person and / or a thing.
As a result, information that needs to be handled securely, such as the health condition of people and things, can be handled appropriately.
日付や内容に改竄があった場合に検出が可能な健康情報を、端末装置を利用する情報オーナの手元にコンパクトに蓄積でき、情報オーナ主導の情報活用が実現できる。 Health information that can be detected when the date or content is falsified can be stored compactly in the hands of the information owner who uses the terminal device, and information utilization led by the information owner can be realized.
(実施形態1)
<情報管理端末装置を用いたシステムの全体構成>
以下、図面を参照して、本発明の実施形態1について詳細に説明する。図1は、本実施形態に係る情報管理端末装置を用いたシステムの構成図である。ここに示すように、本発明に係る情報管理端末装置は、センサからの情報の取得や配信などを行う健康情報配信側デバイス1と、情報の受信や解析などを行う健康情報受信/解析側デバイス2a~2c(以下、特に区別する必要がない場合において、総じて健康情報受信/解析側デバイス2と呼称する)が、直接的に、あるいはネットワークNWを介して通信可能に構成されている。また、健康情報配信側デバイス1は、本実施形態に係る情報管理端末装置ではない、一般的なコンピュータやサーバ装置である端末装置3a、3b(以下、特に区別する必要がない場合において、総じて端末装置3と呼称する)とも、直接的に、あるいはネットワークNWを介して通信可能に構成されている。そして、健康情報配信側デバイス1は、乳幼児に装着されたセンサ4aや高齢者に装着されたセンサ4b、製造装置に取り付けられたセンサ4c、自動車に取り付けられたセンサ4dといった、種々のセンサ(以下、特に区別する必要がない場合において、総じてセンサ4と呼称する)と無線、あるいは有線で通信可能に構成される。また、健康情報配信側デバイス1、健康情報受信/解析側デバイス2は、それらのデバイス上で動作するプログラムに関する情報や、センサ4に関する情報を蓄積する管理サーバ装置5とも、ネットワークNWを介して通信可能に構成される。
(Embodiment 1)
<Overall configuration of the system using the information management terminal device>
Hereinafter,
本発明における健康情報とは、人や物が生成したり関与したりする情報の総称である。例えば、人の健康にかかわる情報として、生体情報(心電図、脈波、心拍、脈拍、体温等)、行動情報(睡眠、食事、排泄、GPS位置、購買、服薬、医療履歴等)、環境情報(気温、湿度、気圧、空気汚染、花粉等)等が、物が生成する情報、すなわち物の健康にかかわる情報として、機器状態情報(異音、温度、振動等)、機器稼働情報(ハンドル・アクセル・ブレーキなどの操作情報、非破壊試験等の異音情報、稼働時間、GPS位置、操作担当者等)、機器の環境情報(人とほぼ同じ)等が挙げられる。また、健康情報配信側デバイス1や健康情報受信/解析側デバイス2、端末装置3等の機器を取り扱うものを総じてユーザと呼称するが、特に、健康情報配信側デバイス1を使用して健康情報の配信などを行うユーザを情報オーナと呼称する。
The health information in the present invention is a general term for information generated or involved by people or things. For example, as information related to human health, biological information (electrocardiogram, pulse wave, heartbeat, pulse, body temperature, etc.), behavior information (sleep, meal, excretion, GPS position, purchase, medication, medical history, etc.), environmental information ( Information generated by things such as temperature, humidity, pressure, air pollution, pollen, etc., that is, information related to the health of things, such as device status information (abnormal noise, temperature, vibration, etc.), device operation information (handle / accelerator) -Operation information such as brakes, abnormal noise information such as non-destructive tests, operating time, GPS position, operator, etc.), environmental information of equipment (almost the same as humans), etc. can be mentioned. In addition, devices that handle devices such as the health information
また、上述したような人や物の健康情報に限らず、更に多様な情報を取り扱うことが出来るような構成としてもよい。例えば、契約書に添付する図面などの書類について、正当性を担保可能な状態での保存や配布を行う、といったように、正当性の担保や改竄の検出が必要とされる種々の情報について、本発明に係る情報管理端末装置を用いた管理を行うことができる。 Further, the configuration may be such that not only the health information of people and things as described above but also various information can be handled. For example, regarding documents such as drawings attached to contracts, various information that requires guarantee of legitimacy and detection of falsification, such as storage and distribution in a state where the validity can be guaranteed. Management can be performed using the information management terminal device according to the present invention.
なお、本発明の基本は、健康情報配信側デバイス1と健康情報受信/解析側デバイス2や端末装置3とのPeer to Peer(P2P)での一対一通信であるため、特定のクラウドサーバなどを必要としない。もちろんクラウドサーバとの接続もP2P通信の拡張として可能である。
Since the basis of the present invention is one-to-one communication between the health information
本実施形態においては、セキュリティの強化された記録メディアを、配信側メディア11として、広く普及しているスマートフォン、タブレット、PC等(デバイスと称する)と併用して健康情報配信側デバイス1を、同様に、受信/解析側メディア21とデバイスによって健康情報受信/解析側デバイス2を、それぞれ実現する。記録メディアとしては、例えば、SeeQVault(登録商標)規格のSDカードを活用することができる。同記録メディアには秘匿領域と通常の公開領域が、記録メディアに内蔵するプロセサにより定義されている。このなかで、秘匿領域には、デバイスで動作する特定の認証ソフトのみが、記録メディアの秘匿領域に保存されている秘匿鍵から生成される公開鍵を用いてアクセス可能となる。言い換えれば、デバイスに搭載されたOS(Operating System、基本ソフトウェア)によって提供されているような一般的なファイルシステムからは見えない、特定の認証ソフトのみアクセスできる秘匿領域を持つメディアが存在することになる。なお、同様な仕組みを有する規格の記録メディアであれば、SeeQVault規格のSDカードに限らず、他の記録メディアを用いてもよい。
In the present embodiment, the recording medium with enhanced security is used as the
<健康情報配信側デバイスの構成>
図2に、健康情報配信側デバイス1の機能ブロック図を示す。ここに示すように、健康情報配信側デバイス1は、配信側メディア11と、健康情報のセンサ4からの取得と配信側メディア11への記録を行うエンコーダ12と、健康情報の健康情報受信/解析側デバイス2や端末装置3への送信を行う配信部13と、健康情報の取得や配信に際して認証を行う個人・資格情報認証手段14と、を備える。
<Health information distribution side device configuration>
FIG. 2 shows a functional block diagram of the health information
配信側メディア11は、秘匿領域111と通常領域112を有する。秘匿領域111は、先に述べたようにデバイスで動作する特定の認証ソフトのみが、記録メディアの秘匿領域に保存されている秘匿鍵から生成される公開鍵を用いてアクセス可能な領域である。また、秘匿領域111は、後述するように、デバイス認証手段1111とメディア認証手段121、131との間で、デバイス-メディア間の相互認証が成立した場合にのみアクセス可能となる。通常領域112についても、デバイスのOS等によって提供される一般的なファイルシステムではなく、秘匿領域111の保持するメディアファイルシステム制御情報1112(メディアへの逐次的な書き込みを実現するためのポインタなどの情報)と連動した非公開のメディアファイルシステムによって管理される。
The distribution-
秘匿領域111は、配信側メディア11と健康情報配信側デバイス1との間で相互認証を行うデバイス認証手段1111と、先に説明したメディアファイルシステム制御情報1112と、通常領域112へのデータの読み書きに際して暗号化/復号を行うための鍵であるデータ暗号鍵1113と、健康情報配信側デバイス1上でのプログラムファイルや健康情報通帳、健康情報の不正な改竄を検出するために用いるハッシュ値などの改竄検出パラメタ1114と、を含む。
The
通常領域112は、センサ4からの健康情報の受信と、受信した健康情報の蓄積を行うエンコーダプログラムファイル1121と、蓄積した健康情報の健康情報受信/解析側デバイス2や端末装置3への配信を行う配信プログラムファイル1122と、健康情報の流通の記録である健康情報通帳1123と、センサ4より受信した健康情報1124の蓄積と、を含む。
The
ここで、健康情報通帳1123には、センサ4より取得した健康情報の属性として、それぞれのセンサ4の有するセンサ識別子、健康情報の取得日時や種別、サイズ、データ改竄検出パラメタ(例えば健康情報のハッシュ値)などが上書き禁止で逐次的に記録される。また、健康情報配信側デバイス1から健康情報受信/解析側デバイス2や端末装置3へと健康情報の出力を行った場合にその出力履歴や出力先、出力に際して設定された秘匿レベル、出力先より返却された解析結果などの情報を含む。
Here, in the
なお、秘匿領域111に含まれる各情報及び通常領域112に含まれるエンコーダプログラムファイル1121、配信プログラムファイル1122については、配信側メディア11の初期設定時ないしは信頼できる配信方式により、配信側メディア11に記録されるものである。
The information included in the
エンコーダ12は、デバイス認証手段1111との間でデバイス-メディア間の相互認証を行うメディア認証手段121と、通常領域112へのアクセスを行うためのメディアファイルシステム122と、センサ4からの健康情報の取得と健康情報通帳1123、健康情報1124への蓄積を行う健康情報通帳1123や健康情報1124、エンコーダプログラム124と、エンコーダプログラム124の改竄検出を行う改竄検出手段123と、を有する。
The
エンコーダプログラム124は、健康情報配信側デバイス1が通常領域112よりエンコーダプログラムファイル1121を読み込んで実行するもので、センサ4の認証を行うセンサ認証手段1241と、センサ4からの健康情報の取得を行う健康情報取得手段1242と、健康情報の健康情報1124への蓄積、健康情報の付加情報の健康情報通帳1123への蓄積を行う健康情報蓄積手段1243と、を含む。
In the
配信部13はメディア認証手段121と同様、デバイス-メディア間の相互認証を行うメディア認証手段131と、通常領域112へのアクセスを行うためのメディアファイルシステム132と、健康情報通帳1123や健康情報1124の配信を行う配信プログラム134と、健康情報通帳1123や健康情報1124、配信プログラム134の改竄検出を行う改竄検出手段133と、情報オーナからの健康情報及び健康情報通帳の配信先と、配信の際に設定する秘匿レベルの指定を受け付ける情報配信先・秘匿レベル指定入力受付手段135と、改竄検出パラメタ1114を秘匿化して配信する改竄検出パラメタ秘匿化配信手段136と、を有する。
Similar to the media authentication means 121, the distribution unit 13 has a media authentication means 131 for mutual authentication between devices and media, a
配信プログラム134は、健康情報配信側デバイス1が通常領域112より配信プログラムファイル1122を読み込んで実行するもので、健康情報通帳1123、健康情報1124をコンテナ化して配信の対象とする健康情報コンテナを生成する健康情報コンテナ生成手段1341と、健康情報コンテナを健康情報受信/解析側デバイス2や端末装置3へと配信する健康情報コンテナ配信手段1342と、を含む。
In the
改竄検出パラメタ秘匿化配信手段136は、他の健康情報受信/解析側デバイス2などへ健康情報の配信を行った後に、その改竄の有無の検証のために、配信した健康情報の改竄検出パラメタ(ハッシュ値など)を、秘匿化した状態で提供するものである。
Falsification detection parameter concealment delivery means 136 distributes health information to other health information receiving /
なお、本実施形態において、情報配信先・秘匿レベル指定入力受付手段135により情報オーナからの指定を受け付ける秘匿レベルは、表1に示すようなものである。この秘匿レベルは、配信する健康情報コンテナに対して原則情報オーナが指定し、健康情報の記録や配信を行う際に、付加情報として共に扱われる。表1に示す様に、秘匿レベルが最も低いクラス0では、健康情報の日付も含めた改竄困難な健康情報が情報オーナの手元にエビデンスとして残るのみで、配信された情報は相手先の扱いに依存する。この場合は図1に端末装置3a、3bとして示したような、一般的な端末装置(従来のクラウドサービスなど)に情報を送ることが可能である。クラス1以上の秘匿レベルを実現するためには、情報コンテナを受信する解析側にもセキュアな蓄積メディアが必要になる。このメディアに改竄困難な受信・解析ソフトが搭載されることにより、受信コンテナに対する勝手な配信を困難にする。また、再配信などの履歴を受信側と情報オーナ側の健康情報通帳に書き込み記録を残す。具体的には、クラス1の指定の場合、受信健康情報の暗号解読が必要になる。この暗号解読の鍵は、あらかじめ受信側の秘匿領域に収容されている必要がある。クラス2では、さらに、受信健康情報の再配信菌糸、有効期限、消去などの制御を情報オーナが指定することが可能である。クラス3では、同様の指定が解析結果にも可能となる。
In this embodiment, the concealment level for receiving the designation from the information owner by the information distribution destination / concealment level designation input receiving means 135 is as shown in Table 1. This confidentiality level is specified by the information owner in principle for the health information container to be distributed, and is treated as additional information when recording or distributing health information. As shown in Table 1, in class 0, which has the lowest confidentiality level, health information that is difficult to tamper with, including the date of health information, remains only as evidence in the hands of the information owner, and the delivered information is treated as the other party. Dependent. In this case, it is possible to send information to a general terminal device (conventional cloud service or the like) as shown as
また、本実施形態においては、エンコーダ12と配信部13がそれぞれ、メディア認証手段121、メディア認証手段131、メディアファイルシステム122、メディアファイルシステム132、改竄検出手段123、改竄検出手段133を有する構成を示したが、これらの機能を共通化するような構成としてもよい。ただし、いずれの場合においても、メディア認証手段121、131やメディアファイルシステム122、132、及び改竄検出手段123、133は耐タンパ化(ソフトウェアコードの難読化処理)されており、秘匿領域111へアクセスするためには、これらのソフトウェア(核ソフト)が必須となる。
Further, in the present embodiment, the
<健康情報受信/解析側デバイスの構成>
図3に、健康情報受信/解析側デバイス2の機能ブロック図を示す。ここに示すように、健康情報受信/解析側デバイス2は、受信/解析側メディア21と、健康情報配信側デバイス1からの健康情報の受信や、その解析結果の健康情報配信側デバイス1への送信、健康情報の解析結果の他の健康情報受信/解析側デバイス2や端末装置3への再解析の依頼のための送信、再解析結果の受信などを行う送受信部22と、受信した健康情報の閲覧制御や解析などを行うデコーダ23と、健康情報の受信や閲覧などに際して認証を行う個人・資格情報認証手段24と、を備える。
<Health information reception / analysis side device configuration>
FIG. 3 shows a functional block diagram of the
受信/解析側メディア21は、配信側メディア11と同様に秘匿領域211と通常領域212とを有する記録メディアを用いることができ、メディア認証手段221は秘匿領域111と同様のデバイス認証手段2111、メディアファイルシステム制御情報2112、データ暗号鍵2113、改竄検出パラメタ2114を含む。
The reception /
通常領域212は健康情報配信側デバイス1からの健康情報の受信やその健康情報の解析結果の健康情報配信側デバイス1、他の健康情報受信/解析側デバイス2、端末装置3などへの送信を行う送受信プログラムファイル2121と、受信した健康情報の解析や閲覧制御を行うデコーダプログラムファイル2122と、健康情報とそれに付加された情報などを格納する健康情報通帳/健康情報2123と、健康情報の解析結果などを格納する解析結果情報2124と、を含む。
The
なお、秘匿領域211に含まれる各情報及び通常領域212に含まれる送受信プログラムファイル2121、デコーダプログラムファイル2122については、受信/解析側メディア21の初期設定時ないしは信頼できる配信方式により、配信側メディア11に記録されるものである。
Regarding the information contained in the
送受信部22は、デバイス認証手段2111との間でデバイス-メディア間の相互認証を行うメディアファイルシステム122と、通常領域212へのアクセスを行うためのメディアファイルシステム222と、メディアファイルシステム222や、健康情報通帳/健康情報2123、解析結果情報2124などの改竄の検出を行う改竄検出手段223と、健康情報コンテナや解析情報コンテナの受信や開封、デコーダ23による健康情報の解析結果の解析情報コンテナとしての送信などを行う送受信プログラム224と、健康情報コンテナや解析情報コンテナに設定された秘匿レベルの判定を行う秘匿レベル判定手段225と、改竄検出パラメタ2114を秘匿化して配信する改竄検出パラメタ秘匿化配信手段226と、を有する。
を有する。
The transmission /
Have.
送受信プログラム224は、健康情報受信/解析側デバイス2が通常領域212より送受信プログラムファイル2121を読み込んで実行するもので、健康情報配信側デバイス1からの健康情報コンテナの受信や、他の健康情報受信/解析側デバイス2、あるいは端末装置3からの解析情報コンテナの受信を行う健康/解析情報コンテナ受信手段2241と、受信した健康情報コンテナや解析情報コンテナの開封、健康情報通帳/健康情報2123への記録を行う健康/解析情報コンテナ開封手段2242と、解析結果情報2124に格納されたデコーダ23による健康情報の解析結果の解析情報コンテナとしての配信を行う解析情報コンテナ送信手段2243と、を含む。
In the transmission /
改竄検出パラメタ秘匿化配信手段226は、健康情報配信側デバイス1や他の健康情報受信/解析側デバイス2などへ健康情報の解析結果の配信を行った後に、その改竄の有無の検証のために、配信した解析結果の改竄検出パラメタ(ハッシュ値など)を、秘匿化した状態で提供するものである。
The falsification detection parameter concealment distribution means 226 distributes the analysis result of the health information to the health information
デコーダ23は、デバイス認証手段2111との間でデバイス-メディア間の相互認証を行うメディア認証手段231と、通常領域212へのアクセスを行うためのメディアファイルシステム232と、健康情報の解析や閲覧/送信の制御などを行うデコーダプログラム234と、健康情報通帳/健康情報2123や解析結果情報2124、デコーダプログラム234の改竄の検出を行う改竄検出手段233と、を有する。
The
デコーダプログラム234は、健康情報受信/解析側デバイス2が通常領域212よりデコーダプログラムファイル2122を読み込んで実行するもので、健康情報や解析結果の閲覧や健康情報配信側デバイス1、他の健康情報受信/解析側デバイス2、端末装置3への送信を制御する閲覧制御手段2341と、健康情報の解析を行う健康情報解析手段2342と、を含む。
In the
なお、本実施形態においては、送受信部22とデコーダ23がそれぞれ、メディア認証手段221、メディア認証手段231、メディアファイルシステム222、メディアファイルシステム232、改竄検出手段223、改竄検出手段233を有する構成を示したが、これらの機能を共通化するような構成としてもよい。ただし、いずれの場合においても、メディア認証手段221、231やメディアファイルシステム222、232、及び改竄検出手段223、233は耐タンパ化(ソフトウェアコードの難読化処理)されており、秘匿領域211へアクセスするためには、これらのソフトウェア(核ソフト)が必須となる。
In this embodiment, the transmission /
また、本実施形態においては、上述したように、健康情報受信/解析側デバイス2による解析結果の出力として、閲覧制御手段2341による健康情報受信/解析側デバイス2での表示と、解析情報コンテナ送信手段2243による健康情報配信側デバイス1や健康情報受信/解析側デバイス2、端末装置3への送信、といった出力が可能な構成を示したが、これらの何れかのみを出力手段として備えるような構成としてもよい。例えば、閲覧制御手段2341による健康情報受信/解析側デバイス2での表示のみを可能とし、健康情報受信/解析側デバイス2のユーザが解析結果の閲覧を行うための構成や、解析情報コンテナ送信手段2243による送信のみを可能とし、健康情報、健康情報通帳の送信元の健康情報配信側デバイス1への解析結果の返却や、他の健康情報受信/解析側デバイス2や端末装置3への再解析依頼のみを行うような構成などが挙げられる。
Further, in the present embodiment, as described above, as the output of the analysis result by the health information reception /
また、健康情報配信側デバイス1と健康情報受信/解析側デバイス2がそれぞれ異なる機能を有する構成を示したが、本発明はこれに限るものではない。例えば、エンコーダ12、配信部13、送受信部22、デコーダ23の機能を有するような端末装置に、配信側メディア11、受信/解析側メディア21に格納される情報を含む記録メディアを接続し、健康情報配信側デバイス1と健康情報受信/解析側デバイス2のどちらとしても利用可能な端末装置を用いるような構成としてもよい。
Further, although the health information
なお、エンコーダプログラムファイル1121、配信プログラムファイル1122、送受信プログラムファイル2121、デコーダプログラムファイル2122等のプログラムは、予め管理サーバ装置5にすべて登録されているものとする。また、それぞれのセンサ4に関する属性情報(センサ4を識別するためのセンサ識別子やセンサ4に関するその他の情報)も、予め管理サーバ装置5に蓄積され、解析時に参照可能になっているものとする。
It is assumed that all the programs such as the
<プログラムの読み込み、改竄検出>
エンコーダプログラムファイル1121、配信プログラムファイル1122の読み込みは、健康情報配信側デバイス1の起動時に行なわれる。また、定期的、あるいはユーザの指示に基づいて健康情報の取得処理を行う際に読み込むような構成としてもよい。図4は、エンコーダプログラムファイル1121の読み込み処理の流れを示すフローチャートである。
<Reading the program, detecting tampering>
The
まず、ステップS101において、健康情報配信側デバイス1と配信側メディア11との間での相互認証を行う。これは、メディア認証手段121とデバイス認証手段1111との間で実行される処理である。
First, in step S101, mutual authentication is performed between the health information
そして、ステップS102でデバイス-メディア間の認証処理が成功したと判断された場合には、ステップS103へと進み、エンコーダプログラムファイル1121がエンコーダプログラム124として健康情報配信側デバイス1へと読み込まれ、健康情報配信側デバイス1のメモリ上への展開などが行われる。
Then, if it is determined in step S102 that the authentication process between the device and the media is successful, the process proceeds to step S103, and the
ステップS102において認証が失敗した場合には、ステップS103におけるエンコーダプログラム124の読み込み等を行わず、処理は終了する。この際、認証の失敗を示すメッセージやログの出力を行うような構成としてもよい。
If the authentication fails in step S102, the
健康情報配信側デバイス1による配信プログラムファイル1122の読み込みについても、同様の処理が行われる。あるいは、エンコーダプログラムファイル1121、配信プログラムファイル1122の読み込み処理を別個に行わず、一度の認証処理の後に、ステップS103においてエンコーダプログラムファイル1121、配信プログラムファイル1122の両方を読み込むような処理としてもよい。更に、健康情報受信/解析側デバイス2による送受信プログラムファイル2121、デコーダプログラムファイル2122の読み込みに際しても、健康情報受信/解析側デバイス2によって同様の処理が行われる。
The same processing is performed for the reading of the
以上のような処理によってメディア認証手段121(あるいはメディア認証手段221)からプログラムが読み込まれた後にも、プログラムの不正な改竄が行われていないか否かについての検出処理が定期的に行われる。図5は、改竄検出処理の流れを示すフローチャートである。 Even after the program is read from the media authentication means 121 (or the media authentication means 221) by the above processing, the detection process for whether or not the program has been tampered with is periodically performed. FIG. 5 is a flowchart showing the flow of the tampering detection process.
まず、ステップS201において、改竄検出パラメタ1114や改竄検出パラメタ2114の読み込みが行われる。本実施形態においては、プログラムに関する改竄検出パラメタ1114として、エンコーダプログラムファイル1121、配信プログラムファイル1122のハッシュ値を、また、プログラムに関する改竄検出パラメタ2114として、送受信プログラムファイル2121、デコーダプログラムファイル2122のハッシュ値を、それぞれ含む情報が用いられる。ここで、ハッシュ値とは、ハッシュ関数を用いて、元データに対して不可逆な計算処理を行うことによって求められる値である。正規のファイルのハッシュ値を予め算出して記録しておき、改竄の検出処理において、改竄の検出対象とするファイルのハッシュ値を同様の手順で算出し、正規のファイルのハッシュ値と同一になるか否かを判定することによって、ファイルへの改竄の有無を検証することができる。
First, in step S201, the
ステップS201で改竄検出パラメタ1114、2114として記録されたハッシュ値を読み込んだ後、ステップS202で、検査対象プログラムのハッシュ値の算出が行われる。ここでは、健康情報配信側デバイス1に読み込まれたエンコーダプログラムファイル1121や配信プログラムファイル1122、健康情報受信/解析側デバイス2に読み込まれた送受信プログラムファイル2121やデコーダプログラムファイル2122が検査対象プログラムとなる。
After reading the hash value recorded as the tampering
続くステップS203において、ハッシュ値の比較を行う。ここで、先に述べた通り、ハッシュ値が同一となれば、プログラムの改竄は行われていないと判断できるが、ハッシュ値が異なる場合には、プログラムが不正に改竄された疑いがある。そのため、ステップS204でハッシュ値が同一と判定された場合には改竄検出処理は終了するが、ステップS204でハッシュ値が同一でないと判定された場合には、ステップS205へと進み、検査対象プログラムの再読み込み処理が行われる。これは、先に図4を参照して説明したような処理を再度行えばよい。 In the following step S203, the hash values are compared. Here, as described above, if the hash values are the same, it can be determined that the program has not been tampered with, but if the hash values are different, there is a suspicion that the program has been tampered with illegally. Therefore, if it is determined in step S204 that the hash values are the same, the tampering detection process ends, but if it is determined in step S204 that the hash values are not the same, the process proceeds to step S205, and the program to be inspected. Reloading process is performed. For this, the process as described above with reference to FIG. 4 may be performed again.
また、ハッシュ値が同一でなく、プログラムの改竄の恐れがある場合には、前回の改竄検出処理から現在までに取得されたデータ、すなわち、不正に改竄されたプログラムによって取得された恐れのある、信頼性の低いデータの破棄や回復などの処理を行うことが好ましい。 If the hash values are not the same and there is a risk of program tampering, the data acquired from the previous tampering detection process to the present, that is, the program may have been tampered with illegally. It is preferable to perform processing such as discarding or recovering unreliable data.
ここで、エンコーダプログラム124の改竄が検出された場合には、前回の改竄検出処理から現在に至るまでに取得された健康情報や健康情報通帳を削除することが好ましい。また、当該データを用いて行なわれた解析結果についても信頼性が低いものとなるため、そのような解析結果を保持する他の健康情報受信/解析側デバイス2や端末装置3などに対しても、データの削除を依頼するような構成とすることがより好ましい。
Here, when falsification of the
一方、エンコーダプログラム124以外のプログラムの改竄が検出された場合においては、他の健康情報配信側デバイス1、や健康情報受信/解析側デバイス2、端末装置3に、あるいは、管理サーバ装置5や図示しない他のサーバ装置などに定期的なバックアップを取るような構成としておけばそれらのサーバ装置などに、プログラムの改竄の影響を受けていない、すなわち、信頼性の高いデータが存在する可能性がある。そのような場合においては、それらの情報を取得し、データの回復を図ることが好ましい。
On the other hand, when a tampering with a program other than the
また、エンコーダプログラム124以外のプログラムの改竄が検出された場合においても、改竄が検出されたプログラムが処理に介在したデータ、すなわち、配信プログラム134の改竄が検出された場合の、健康情報受信/解析側デバイス2や端末装置3へと送信された健康情報や健康情報通帳、及びその解析結果、送受信プログラム224やデコーダプログラム234の改竄が検出された場合の、健康情報配信側デバイス1や他の健康情報受信/解析側デバイス2、端末装置3などへ送信された解析結果やその再解析結果、といったデータについても、信頼性が低いものとなるため、そのようなデータの削除を依頼するような構成とすることがより好ましい。
Further, even when the tampering of a program other than the
本実施形態においては、以上のようにして、健康情報配信側デバイス1が配信側メディア11から読み込んだプログラムファイルや、健康情報受信/解析側デバイス2が受信/解析側メディア21から読み込んだプログラムファイルが不正に改竄されていないかを検査し、改竄が行われた恐れがある場合にはプログラムファイルの再読み込みを行うことで、健康情報や解析結果の不正な改竄や利用がされないことを担保することができる。
In the present embodiment, as described above, the program file read from the
<健康情報の取得処理>
続いて、健康情報配信側デバイス1による、センサ4からの健康情報の取得処理について説明する。図6は、健康情報の取得処理の流れを示すフローチャートである。まず、ステップS301において、個人・資格情報認証手段14による情報オーナの認証処理が行われる。なお、これは健康情報配信側デバイス1の有する認証手段によって行われればよく、例えば事前に設定された暗証番号の入力や、健康情報配信側デバイス1が指紋認証や顔認証のような生体認証を行う機能を有したデバイスであれば、それらの機能を利用するような構成とすればよい。
<Health information acquisition process>
Subsequently, the process of acquiring the health information from the sensor 4 by the
ステップS302でユーザ認証が成功したと判定された場合には、ステップS303へと進み、センサ認証手段1241によるセンサ4の認証処理が行われる。これは、情報オーナ以外の人や、対象とする健康情報配信側デバイス1やセンサ4以外が生成する健康情報を不正に取得することを防ぐためのものであり、センサ4の設置時や初期登録時、登録変更時に対象とするセンサ固有の識別子を情報オーナによりリストアップするとともに、不自然な取得情報の内容を監視する事により、検出して健康情報通帳1123に記録しておき、それを基に認証を行う。
If it is determined in step S302 that the user authentication is successful, the process proceeds to step S303, and the sensor authentication means 1241 performs authentication processing of the sensor 4. This is to prevent unauthorized acquisition of health information generated by a person other than the information owner or a
ステップS404でセンサ4の認証が成功したと判定された場合には、ステップS305へと進み、健康情報蓄積手段1243によるセンサ4からの健康情報の取得処理が行われる。ここで取得された健康情報に対し、ステップS306で付加情報が付与される。付加情報としては、健康情報が取得された日時・時刻記録(タイムスタンプ)や、取得を行ったセンサ4に関する情報などが挙げられる。そして、ここでは、これらの付加情報は信頼されるサイトが発行した電子証明書や電子時刻証明書等により改竄困難な形態で付与することが好ましい。 If it is determined in step S404 that the authentication of the sensor 4 is successful, the process proceeds to step S305, and the health information storage means 1243 performs the process of acquiring the health information from the sensor 4. Additional information is added to the health information acquired here in step S306. Examples of the additional information include the date / time / time record (time stamp) from which the health information was acquired, information on the sensor 4 from which the health information was acquired, and the like. Here, it is preferable that these additional information are given in a form that is difficult to falsify by an electronic certificate, an electronic time certificate, or the like issued by a trusted site.
ステップS307では、ステップS305で取得され、ステップS306で付加情報を付与された健康情報の健康情報通帳1123、健康情報1124への記録が行われる。ここでの健康情報の記録は、上書き禁止として、逐次的に行われる。
In step S307, the health information acquired in step S305 and added with additional information in step S306 is recorded in the
以上の処理によって、健康情報配信側デバイス1を用いた健康情報の取得が行われる。このように、情報オーナやセンサ4の認証を行うことにより、第三者による情報オーナの意図しない不正な健康情報の記録等を防ぐことができる。更に、センサ4より取得した健康情報へ改竄困難な形態での付加情報の付与や、それらの情報の上書き禁止での逐次的な記録を行うことで、情報オーナによる健康情報の不正な改竄をも防ぐことができる。これにより、健康情報配信側デバイス1によって記録する健康情報の信頼性を非常に高いものにすることができる。
By the above processing, health information is acquired using the health information
なお、図6においては、ステップS302でユーザ認証が失敗したと判定された場合やステップS304でセンサ4の認証が失敗した場合に直ちに処理を終了する処理を例示したが、そのような場合に再認証を求めるような処理や、警告メッセージを表示するような処理など、任意の処理を加えてもよい。 Note that FIG. 6 illustrates a process of immediately ending the process when it is determined in step S302 that the user authentication has failed or when the sensor 4 authentication has failed in step S304. Arbitrary processing such as processing for requesting authentication or processing for displaying a warning message may be added.
<健康情報の配信処理>
エンコーダ12によってセンサ4より取得され、配信側メディア11へと記録された健康情報及びその付加情報である健康情報通帳は、健康情報受信/解析側デバイス2や端末装置3へと配信することができる。図7は、健康情報の配信処理の流れを示すフローチャートである。
<Distribution processing of health information>
The health information acquired from the sensor 4 by the
まず、ステップS401において、情報オーナの認証が行われる。これは、図6を参照して説明した健康情報の取得処理におけるステップS301と同様の処理でよい。そして、ステップS403で、ユーザ認証が成功したと判定された場合に、ステップS403からS405の配信処理が行われる。 First, in step S401, the information owner is authenticated. This may be the same process as in step S301 in the health information acquisition process described with reference to FIG. Then, when it is determined in step S403 that the user authentication is successful, the distribution process of steps S403 to S405 is performed.
ステップS403では、情報オーナより、健康情報通帳1123、健康情報1124の内で配信対象とする情報の指定と、その配信先、及び配信に用いる秘匿レベルの指定を受け付ける。ここでの配信対象とする情報の指定は、例えば、特定のセンサ4から取得した情報、特定の期間に取得した情報など、任意の方法によって受け付ければよい。配信先についても、有線、無線で直接接続された健康情報受信/解析側デバイス2や端末装置3を指定する方法や、ネットワークNWを介して接続されるのであればURL(Uniform Resource Locator)を指定する方法など、任意の方法で指定を受け付ければよい。あるいは、有線での接続など所定の方法で接続された健康情報受信/解析側デバイス2や端末装置3を自動的に配信先として選択する構成などを取ってもよい。秘匿レベルは、先に表1に示したようなクラス0~3の4つの内の何れかの選択を受け付ける。あるいは、配信対象とする情報や配信先の健康情報受信/解析側デバイス2、端末装置3について、配信に用いる秘匿レベルを予め定めておくような構成としてもよい。
In step S403, the information owner specifies the information to be distributed in the
続くステップS404では、ステップS403で情報オーナより受けた指定に基づき、健康情報コンテナの生成処理を行う。ここでの健康情報コンテナとはすなわち、健康情報や健康情報通帳の内の配信対象とする情報を、情報オーナより指定された秘匿レベルによって配信するためのコンテナである。これは、単一のファイルとしてもよいし、複数のファイルの集合の形をとってもよい。 In the following step S404, the health information container is generated based on the designation received from the information owner in step S403. The health information container here is a container for distributing health information and information to be distributed in the health information passbook at a confidentiality level specified by the information owner. It may be a single file or it may be in the form of a collection of multiple files.
なお、受信/解析側メディア21のようなセキュアな記録メディアを有さない端末装置3へと健康情報コンテナや解析情報コンテナを送信する場合には、秘匿レベルの設定をクラス0とする、あるいは、健康情報コンテナの生成時に秘匿レベルの設定自体を省略する、といった処理を行えばよい。
When transmitting the health information container or analysis information container to the terminal device 3 that does not have a secure recording medium such as the reception /
そして、ステップS405で、健康情報コンテナを配信先へと送信し、健康情報の配信処理は終了する。なお、健康情報の配信処理は、ここで説明したようにステップS401におけるユーザ認証、ステップS403における各種指定を情報オーナより受け付けて行う他に、予め定期的な健康情報の配信設定を行っておき、ステップS401におけるユーザ認証を省略して定期的に自動実行するような構成をとってもよい。 Then, in step S405, the health information container is transmitted to the delivery destination, and the health information delivery process is completed. In addition to accepting the user authentication in step S401 and various designations in step S403 from the information owner as described here, the health information distribution process is performed by periodically setting the distribution of health information in advance. The user authentication in step S401 may be omitted and the user authentication may be automatically executed periodically.
また、ステップS405における健康情報コンテナの配信に伴って、改竄検出パラメタ秘匿化配信手段136により、健康情報コンテナに含まれる健康情報や健康情報通帳の改竄検出パラメタの配信も行うような構成としてもよい。 Further, along with the distribution of the health information container in step S405, the tampering detection parameter concealment distribution means 136 may be configured to distribute the health information included in the health information container and the tampering detection parameter of the health information passbook. ..
<健康情報の受信/解析処理>
次に、健康情報配信側デバイス1より配信された健康情報コンテナの、健康情報受信/解析側デバイス2による受信処理について説明する。なお、他の健康情報受信/解析側デバイス2や端末装置3から、健康情報コンテナの解析結果である解析情報コンテナを受信する際にも同様の処理を行うため、あわせて説明する。図8は、健康情報受信/解析側デバイス2による健康情報コンテナ、解析情報コンテナの受信処理の流れを示すフローチャートである。
<Reception / analysis processing of health information>
Next, the reception process of the health information container distributed from the health information
ステップS501において健康情報コンテナ、解析情報コンテナを受信した後には、ステップS502で秘匿レベルの判定を行う。これは、予め健康情報コンテナや解析情報コンテナに、コンテナを開封せずとも秘匿レベルを判定可能な情報を付与しておき、それを読み取ることで実行される。 After receiving the health information container and the analysis information container in step S501, the confidentiality level is determined in step S502. This is executed by assigning information to the health information container or the analysis information container in advance so that the confidentiality level can be determined without opening the container, and reading the information.
そして、ステップS502において判定した秘匿レベルに応じて、ステップS503で健康情報コンテナ、解析情報コンテナの開封処理を行う。これは秘匿レベルによって異なった処理となり、例えばクラス0のデータであればコンテナを展開するのみでよいが、クラス1以上の秘匿レベルが設定されている場合には、暗号化されたデータの複合処理が含まれる。更に、クラス2以上のデータであれば、それに設定された複写の制限や有効期限などの付加情報の取得処理等も含まれる。
Then, according to the confidentiality level determined in step S502, the health information container and the analysis information container are opened in step S503. This is different processing depending on the confidentiality level. For example, if the data is class 0, it is only necessary to expand the container, but if the confidentiality level of
ステップS504で、健康情報コンテナを開封して得た健康情報や健康情報通帳、解析情報コンテナを開封して得た解析結果情報の健康情報通帳/健康情報2123への記録を行い、受信処理は終了する。
In step S504, the health information and health information passbook obtained by opening the health information container and the analysis result information obtained by opening the analysis information container are recorded in the health information passbook /
なお、上述したような受信処理は、定期的に実行するような構成や、健康情報受信/解析側デバイス2や端末装置3を利用するユーザの指示があった場合に実行する構成、あるいは、健康情報配信側デバイス1からの健康情報の配信や他の健康情報受信/解析側デバイス2や端末装置3からの解析情報コンテナの配信があった際に都度行う構成など、任意のタイミングで実行するような構成としてよい。
It should be noted that the reception process as described above may be configured to be executed periodically, configured to be executed when instructed by a user who uses the health information receiving / analyzing
また、先に述べたように、健康情報コンテナの配信に伴って改竄検出パラメタ秘匿化配信手段136からの改竄検出パラメタの健康情報配信側デバイス1からの送信を行うような構成とした場合、健康情報受信/解析側デバイス2によってそれを受信し、ステップS503における開封処理の後などに、データの改竄の有無を検証するような構成としてもよい。
Further, as described above, when the falsification detection parameter is transmitted from the health information
<健康情報解析/解析情報再解析処理>
図9は、健康情報受信/解析側デバイス2における、健康情報配信側デバイス1から受信した健康情報の解析処理、及び、他の健康情報受信/解析側デバイス2や端末装置3から受信した解析情報の再解析処理の流れを示すフローチャートである。まず、ステップS601で、健康情報通帳/健康情報2123より、健康情報や健康通帳情報の読み出しを行う。
<Health information analysis / analysis information reanalysis processing>
FIG. 9 shows the analysis processing of the health information received from the health information
そして、ステップS602において、健康情報解析手段2342による健康情報の解析、解析情報の再解析を行い、ステップS603でその結果を解析結果情報2124へと一時的に記録する。ここでは、ステップS601において読み出した健康通帳情報に含まれるセンサ識別子を用いて、管理サーバ装置5より健康情報を取得したセンサ4に関する情報を取得し、それに基づいた解析などを行う。この解析は例えば、健康情報コンテナで送られる、日中の活動量や位置情報等の行動情報、移動中の花粉・空気汚染・気圧・温度などの環境情報、さらにストレス・血圧変動などの生体情報、といった情報を、AI等の解析により相互の関係を可視化することによって、未病対策・治療・ビックデータによる商品開発等に用いることができるような結果を得られるものである。
Then, in step S602, the health information analysis means 2342 analyzes the health information and re-analyzes the analysis information, and in step S603, the result is temporarily recorded in the
なお、解析結果を一時的でなく、(健康情報に設定された秘匿レベルの許す範囲で)保持し続けるような構成としてもよいし、あるいは、解析を行ったという履歴情報のみを保持し続けるような構成としてもよい。このような構成とすれば、健康情報の配信元の情報オーナによる検証を、容易にすることができる。 In addition, the analysis result may not be temporary, but may be configured to continue to retain (within the range allowed by the confidentiality level set in the health information), or only the history information that the analysis was performed may be retained. It may be configured as such. With such a configuration, verification by the information owner of the distribution source of health information can be facilitated.
その後、ステップS604で、解析情報コンテナ送信手段2243によって、解析結果情報2124に一時記録した解析結果の送信を行う。ここでの送信先は、健康情報配信側デバイス1から受信した健康情報の解析結果であれば、その送信元である健康情報配信側デバイス1に、また、解析結果を更に他の健康情報受信/解析側デバイス2や端末装置3で解析する、あるいは蓄積するという場合には、それらのデバイスへと、秘匿レベルの設定等を行って送信すればよい。また、ユーザより任意の送信先の指定を受け付けるような構成としてもよい。
After that, in step S604, the analysis information container transmitting means 2243 transmits the analysis result temporarily recorded in the
なお、受信/解析側メディア21のようなセキュアな記録メディアを有さない端末装置3へと健康情報コンテナや解析情報コンテナを送信する場合には、秘匿レベルの設定をクラス0とする、あるいは、秘匿レベルの設定自体を省略して送信する、といった処理を行えばよい。
When transmitting the health information container or analysis information container to the terminal device 3 that does not have a secure recording medium such as the reception /
ここで、ステップS604における解析情報コンテナの送信に伴って、改竄検出パラメタ秘匿化配信手段226による、解析結果の改竄検出パラメタの送信を行うような構成としてもよい。 Here, the tampering detection parameter concealment distribution means 226 may transmit the tampering detection parameter of the analysis result along with the transmission of the analysis information container in step S604.
なお、ここでは、健康情報の解析結果を健康情報配信側デバイス1や他の健康情報受信/解析側デバイス2、端末装置3へと送信する処理を説明したが、閲覧制御手段2341によって、健康情報受信/解析側デバイス2を利用するユーザによる閲覧も可能に構成されている。ここで、解析情報コンテナ送信手段2243による他のデバイスへの送信と閲覧制御手段2341を用いるユーザによる閲覧のいずれにおいても、元の健康情報コンテナ(あるいは解析情報コンテナ)に指定されていた秘匿レベルに従って処理が行われる。すなわち、元の健康情報コンテナ、解析情報コンテナの秘匿レベルがクラス2以上に設定されており、データの複写の制限や有効期限設定が付与されている場合には、それに従って、閲覧の制限や有効期限切れのデータの削除などが行われる。
Although the process of transmitting the analysis result of the health information to the health information
<メディアファイルシステムによるファイルの記録/読み出し処理>
健康情報の取得処理におけるステップS307、健康情報の配信処理におけるステップS404、健康情報や解析情報の受信処理におけるステップS504、健康情報の解析や解析情報の再解析処理におけるステップS601、S603などにおいて、配信側メディア11の通常領域112や送受信部22の通常領域212へのデータの読み書きを行う際には、メディアファイルシステム122、132、222、232により、改竄が困難な状態とするための処理が行われる。
<File recording / reading processing by the media file system>
Distribution in steps S307 in the health information acquisition process, step S404 in the health information distribution process, step S504 in the health information and analysis information reception process, steps S601 and S603 in the health information analysis and analysis information reanalysis process, and the like. When reading / writing data to / from the
図10(a)は、メディアファイルシステム122、132、222、232によるデータの記録処理の流れを示すフローチャートである。データの記録に際しては、まずステップS701において、記録するデータのハッシュ値の算出が行われる。これはすなわち、データの改竄の検出に用いられる、データ改竄検出パラメタである。
FIG. 10A is a flowchart showing the flow of data recording processing by the
そして、ステップS702で、データ暗号鍵1113、2113を用いた、記録するデータの暗号化が行われ、ステップS703で、ステップS701において算出されたハッシュ値の秘匿領域111、211への記録と、ステップS702において暗号化されたデータの通常領域112、212への記録を行う。なお、ここでのデータの記録は、上書き禁止で、逐次的に行われる。
Then, in step S702, the data to be recorded is encrypted using the
このようにして通常領域112、212へと記録されたデータの読み出しは、図10(b)に示すような流れで行われる。まず、ステップS801において、暗号化されたデータの復号が行われる。これには、データ暗号鍵1113、2113が用いられる。
The data recorded in the
そして、ステップS802で、復号化したデータのハッシュ値の算出が行われ、ステップS803で、算出されたハッシュ値と秘匿領域111、211に記録されたハッシュ値との比較が行われる。ここで、ハッシュ値が不一致であれば、すなわち、データの改竄が行われた可能性が高い。そのため、ステップS804で、ハッシュ値が不一致であったと判定された場合にはステップS805へと進み、データの削除や回復を行う。
Then, in step S802, the hash value of the decoded data is calculated, and in step S803, the calculated hash value is compared with the hash value recorded in the
ここでのデータの回復とは、例えば、データの記録時や、定期的な処理などにより、管理サーバ装置5や図示しない他のサーバ装置へのバックアップを予め行っておき、それを取得する、といった方法によって行うことができる。 The data recovery here means, for example, backing up to the management server device 5 or another server device (not shown) in advance and acquiring the data at the time of recording the data or by periodic processing. It can be done by the method.
また、データの改竄が検出された場合には、他の端末上に存在する当該データやその解析結果についても、改竄検出処理を行うような構成とすることが好ましい。 Further, when falsification of data is detected, it is preferable that the data existing on another terminal and the analysis result thereof are also configured to perform falsification detection processing.
このように、暗号化とハッシュ値による改竄検出を組み合わせたデータの読み書きを行うことにより、データを安全に保管し、不正な改竄などを行わせないような構成とすることができる。また、ユーザの指示に基づいた処理や、定期的な処理などによって、図10(b)に示したような処理によるデータの改竄検出処理を行うような構成とすることが好ましい。 In this way, by reading and writing data that combines encryption and falsification detection based on hash values, it is possible to securely store the data and prevent unauthorized falsification. Further, it is preferable to have a configuration in which data tampering detection processing is performed by the processing as shown in FIG. 10B by processing based on the user's instruction or periodic processing.
なお、本実施形態においては、健康情報配信側デバイス1、健康情報受信/解析側デバイス2において実行されるプログラムや健康情報、健康情報通帳、解析情報などを配信側メディア11、受信/解析側メディア21に格納する構成を示したが、本発明はこれに限るものではない。例えば、各情報にアクセスするためのURLやパスといったリンクが配信側メディア11や受信/解析側メディア21にセキュアに保存され、それらを用いることにより、結果的に上述したような情報にアクセスできるのであれば、必ずしも配信側メディア11や受信/解析側メディア21内に保存される必要はない。このような構成とすれば、配信側メディア11の記憶容量が限られるような場合においても、ネットワークNWを介して通信可能なサーバ装置や、健康情報配信側デバイス1、健康情報受信/解析側デバイス2の備える記憶部などへと、多くの情報の蓄積を行うことができる。
In this embodiment, the program, health information, health information passbook, analysis information, etc. executed by the health information
以上のように、情報オーナが秘匿レベルの設定によって情報の取り扱いを決定し、また、健康情報や解析情報を取り扱うプログラム、及び健康情報や解析情報自体の改竄を防止することで、情報オーナが自分の情報を把握し、活用方針や活用する情報の配信先を決め、さらに配信した情報の有効期限や消去をすることができる。 As described above, the information owner decides the handling of information by setting the confidentiality level, and the information owner himself / herself by preventing the program that handles health information and analysis information and the falsification of health information and analysis information itself. It is possible to grasp the information of the information, decide the utilization policy and the distribution destination of the information to be utilized, and further expire or delete the distributed information.
これにより、従来のクラウド主体のデータ活用のように、知らないうちに情報が吸い上げられ、一旦クラウドに吸収された情報の処理後の行方について、情報を生成した情報オーナが把握することが困難となってしまう、情報の改竄に対する保護が情報の活用を行うそれぞれの事業者に委ねられており、不正な改竄の恐れがある、といった問題を解消することができる。そして、特定のクラウドサーバに依存することなく、個人主導の情報活用を広く普及しているスマートフォン等のデバイスとセキュアなSDカードなどのメディアを活用したP2P通信を基本とした構成で行うことで、大きな投資やインフラの改造を行うことなく、手軽かつ柔軟に信頼性の高い健康情報取得・蓄積・配信・処理を実現することができる。 As a result, it is difficult for the information owner who generated the information to grasp the whereabouts of the information once absorbed in the cloud after processing, as the information is sucked up without knowing it like the conventional cloud-based data utilization. It is possible to solve the problem that there is a risk of unauthorized falsification because the protection against falsification of information is entrusted to each business operator who utilizes the information. Then, without depending on a specific cloud server, the configuration is based on P2P communication using devices such as smartphones, which are widely used for personal-led information utilization, and media such as secure SD cards. It is possible to easily and flexibly realize highly reliable health information acquisition, storage, distribution, and processing without major investment or modification of infrastructure.
(実施形態2)
以下、図面を参照して本発明の実施形態2について詳細に説明する。なお、上述した実施形態1と基本的に同一の構成要素については、同一の符号を付してその説明を簡略化する。本実施形態に係る情報管理端末装置を用いたシステムも、実施形態1において図1を参照して説明したように、健康情報配信側デバイス1、健康情報受信/解析側デバイス2、端末装置3、センサ4、管理サーバ装置5を備えるものである。ただし、本実施形態においては、配信側メディア11、受信/解析側メディア21として、実施形態1において説明したようなセキュリティの強化された記録メディアではなく、より一般的な記録メディアを用いる点、また、管理サーバ装置5がセンサ4に関する情報の蓄積のみでなく、秘匿領域111に含まれる各情報を有する点において異なる。
(Embodiment 2)
Hereinafter,
<健康情報配信側デバイスの構成>
図11に、本実施形態に係る健康情報配信側デバイス1の機能ブロック図を示す。ここに示すように、本実施形態に係る健康情報配信側デバイス1は、実施形態1と同様のエンコーダ12、配信部13、個人・資格情報認証手段14を備える。そして、配信側メディア11が通常領域112と、メディア識別子113とを備える点、また、秘匿情報一時記憶部15を備える点において、実施形態1と異なるものである。すなわち、本実施形態は、実施形態1において例示したSeeQVaultのような秘匿領域111と通常領域112とを有する記録メディアではなく、通常領域112(及びメディア識別子113)を有するが、秘匿領域111を有さないような、より一般的な記録メディアを利用する場合の構成を示すものである。
<Health information distribution side device configuration>
FIG. 11 shows a functional block diagram of the health information
秘匿情報一時記憶部15は、後に説明するように、管理サーバ装置5より受信した秘匿領域111に含める情報を格納するための領域であり、健康情報配信側デバイス1の備える揮発性、あるいは不揮発性のメモリ上に、予め、あるいは、管理サーバ装置5からの秘匿領域111に含める情報の受信処理に際して確保される領域である。あるいは、配信側メディア11の備える通常領域112の内に、秘匿情報一時記憶部15として使用する領域を確保するような構成としてもよい。
As will be described later, the secret information temporary storage unit 15 is an area for storing information to be included in the
メディア識別子113は、各々の配信側メディア11が備える、ユーザによる書き換えが不可能な、固有な識別子である。例えば、SDカードであれば、CID(カード識別)レジスタと呼ばれる、シリアル番号などを含む、ユーザによる書き換えが不可能な領域を有するので、配信側メディア11としてSDカードを用いる場合には、それをメディア識別子113として使用することができる。
The
また、本実施形態においても、通常領域112に含まれる各情報を、それらの実体に代えて、ネットワークNWを介して通信可能なサーバ装置や、健康情報配信側デバイス1の備える記憶部などへのリンクの形態で保持するような構成としてもよい。
Further, also in the present embodiment, each information contained in the
<健康情報受信/解析側デバイスの構成>
図12に、本実施形態に係る健康情報受信/解析側デバイス2の機能ブロック図を示す。ここに示すように、本実施形態に係る健康情報受信/解析側デバイス2は、実施形態1と同様の送受信部22、デコーダ23、個人・資格情報認証手段24を備える。そして、受信/解析側メディア21が通常領域212と、メディア識別子213とを備える点、また、秘匿情報一時記憶部25を備える点において、実施形態1と異なるものでる。これはすなわち、本実施形態における健康情報配信側デバイス1と同様、実施形態1において例示したSeeQVaultのような秘匿領域211と通常領域212とを有する記録メディアではなく、通常領域212(及びメディア識別子213)を有するが、秘匿領域211を有さないような、より一般的な記録メディアを利用する場合の構成を示すものである。
<Health information reception / analysis side device configuration>
FIG. 12 shows a functional block diagram of the health information receiving / analyzing
秘匿情報一時記憶部25は秘匿情報一時記憶部15と同様、健康情報受信/解析側デバイス2上や、受信/解析側メディア21の有する通常領域212上に、予め、あるいは、管理サーバ装置5からの秘匿領域211の受信処理に際して確保される領域である。
Like the secret information temporary storage unit 15, the secret information
メディア識別子213は、メディア識別子113と同様、受信/解析側メディア21としてSDカードを用いる場合にはCIDレジスタに含まれる値を用いる、といったように、受信/解析側メディア21として使用する記録メディアの備える、固有な識別子を用いることができる。
Similar to the
また、本実施形態においても、通常領域212に含まれる各情報を、それらの実体に代えて、ネットワークNWを介して通信可能なサーバ装置や、健康情報受信/解析側デバイス2の備える記憶部などへのリンクの形態で保持するような構成としてもよい。このような構成とすれば、受信/解析側メディア21の記憶容量が限られるような場合においても、多くの情報の蓄積が可能となる。
Further, also in the present embodiment, a server device capable of communicating each information included in the
<秘匿情報の受信、プログラムの読み込み、改竄検出>
本実施形態においては、健康情報配信側デバイス1の起動時、または、定期的な処理やユーザの指示による処理によってエンコーダプログラムファイル1121、配信プログラムファイル1122の読み込みを行う際に、管理サーバ装置5からの秘匿領域111の受信を行う。図13は、秘匿領域111の受信と、エンコーダプログラムファイル1121、配信プログラムファイル1122の読み込み処理の流れを示すフローチャートである。これはすなわち、実施形態1において図4を参照して説明した処理に相当するものであるといえる。
<Reception of confidential information, reading of programs, detection of tampering>
In the present embodiment, when the health information
まず、ステップS901で、健康情報配信側デバイス1と管理サーバ装置5の間での認証処理を行う。これは、メディア認証手段121、221が配信側メディア11よりメディア識別子113を取得し、それを管理サーバ装置5に送信することによって行われる。
First, in step S901, an authentication process is performed between the health information
そして、ステップS902で認証処理が成功したと判断された場合には、ステップS903に進み、管理サーバ装置5より、秘匿領域111に含める情報のダウンロードが行われる。これは、管理サーバ装置5に予めメディア識別子113とそれに対応する秘匿領域111に含める情報を紐づけた状態で記憶させておき、ステップS901において管理サーバ装置5が受信したメディア識別子113に対応する秘匿領域111に含める情報を、ステップS903において管理サーバ装置5から健康情報配信側デバイス1へと送信するような手順で行えばよい。
If it is determined in step S902 that the authentication process is successful, the process proceeds to step S903, and the management server device 5 downloads the information to be included in the
ステップS903では、秘匿領域111を秘匿情報一時記憶部15へと記録する。ここで、秘匿情報一時記憶部15として使用する領域が予め確保されていない場合には、その確保の処理を先に行うことになる。ここで、秘匿領域111は、実施形態1において配信側メディア11に含まれる場合と同様に、デバイス認証手段1111とメディア認証手段121、131との間で、デバイス-メディア間の相互認証が成立した場合にのみアクセス可能となるものである。
In step S903, the
その後、ステップS904において、実施形態1で図4のステップS103において行う処理と同様にして、エンコーダプログラムファイル1121のエンコーダプログラム124としての読み込み、配信プログラムファイル1122のデコーダプログラム234としての読み込みが行われる。
After that, in step S904, the
以上のようにして、健康情報配信側デバイス1上での秘匿領域111やエンコーダプログラム124、配信プログラム134の準備が完了する。また、健康情報受信/解析側デバイス2上での秘匿領域211や送受信プログラムファイル2121、デコーダプログラムファイル2122の読み込みに際しても、健康情報受信/解析側デバイス2によって同様の処理が行われる。
As described above, the preparation of the
このように、メディア識別子113、213を用いた認証処理を行い、秘匿領域111や秘匿領域211に含める情報を管理サーバ装置5よりダウンロードする構成とすることによって、秘匿領域と通常領域を有する特別な記録メディアを用いずとも、通常のSDカードなどを用いて、本発明に係る健康情報配信側デバイス1、健康情報受信/解析側デバイス2を実現することができる。
In this way, the authentication process using the
なお、本実施形態においては、ステップS901において、管理サーバ装置5へとメディア識別子113やメディア識別子213を送信してデバイス-サーバ間の認証処理を行う構成を示したが、ここでさらに、健康情報配信側デバイス1や健康情報受信/解析側デバイス2のデバイス固有の識別子(例えばデバイスの有する通信部のMACアドレスや、デバイスのシリアル番号など)を併せて送信し、管理サーバ装置5において、デバイスと記録メディアとの対応関係についても予め記憶しておき、認証処理において確認するような構成としてもよい。このような構成とすれば、予め登録したデバイスと記録メディアを用いた場合のみによって本実施形態に係る健康情報配信側デバイス1、健康情報受信/解析側デバイス2を実現することができ、情報の改竄などの不正行為をより困難にすることができる。
In the present embodiment, in step S901, the configuration in which the
以上のような処理によって、健康情報配信側デバイス1、健康情報受信/解析側デバイス2への秘匿領域111、211のダウンロードと記録、各プログラムのデバイスへの読み込み処理が完了した後には、実施形態1において説明したように、図5に示したような処理によるプログラムの改竄検出処理や、図6に示したような健康情報配信側デバイス1によるセンサ4からの健康情報の取得処理、図7に示したような健康情報配信側デバイス1による健康情報受信/解析側デバイス2や端末装置3への健康情報の配信処理、図8に示したような健康情報受信/解析側デバイス2による健康情報の解析処理などが行われる。
After the processing as described above completes the download and recording of the
また、健康情報配信側デバイス1、健康情報受信/解析側デバイス2における健康情報や健康情報通帳の書き込みや読み出し処理は、図10に示したような、実施形態1における処理と同様にして行われる。ただしここで、データの書き込みに伴うメディアファイルシステム制御情報1112、2112の更新や、改竄検出のためのハッシュ値の秘匿領域111、211への書き込みなど、秘匿領域111、211内の情報の更新が行われた後には、逐次、あるいは定期的に、管理サーバ装置5へのアップロードが行われ、管理サーバ装置5上にメディア識別子113、213と紐づいて記憶される、秘匿領域111、211に含める情報の更新が行われる。
Further, the writing / reading processing of the health information and the health information passbook in the health information
なお、本明細書では、実施形態1において、セキュアな記録メディアを用いて健康情報配信側デバイス1、健康情報受信/解析側デバイス2を実現する構成、実施形態2において、より一般的な記録メディアを用いて健康情報配信側デバイス1、健康情報受信/解析側デバイス2を実現する構成を示したが、実施形態1に示した健康情報配信側デバイス1と実施形態2に示した健康情報受信/解析側デバイス2、実施形態2に示した健康情報配信側デバイス1と実施形態1に示した健康情報受信/解析側デバイス2、実施形態1に示した健康情報受信/解析側デバイス2と実施形態2に示した健康情報受信/解析側デバイス2、といったように、それぞれの実施形態に示したような健康情報配信側デバイス1、健康情報受信/解析側デバイス2の間で、相互に健康情報や解析情報のやり取りが可能な構成としてもよい。
In the present specification, in the first embodiment, the health information
(実施形態3)
以下、図面を参照して本発明の実施形態3について詳細に説明する。なお、上述した実施形態1と基本的に同一の構成要素については、同一の符号を付してその説明を簡略化する。本実施形態に係る情報管理端末装置を用いたシステムも、実施形態1において図1を参照して説明したように、健康情報配信側デバイス1、健康情報受信/解析側デバイス2、端末装置3、センサ4、管理サーバ装置5を備えるものである。そして、実施形態1において説明したように、図6に示したような健康情報配信側デバイス1によるセンサ4からの健康情報の取得処理、図7に示したような健康情報配信側デバイス1による健康情報受信/解析側デバイス2や端末装置3への健康情報の配信処理、図8に示したような健康情報受信/解析側デバイス2による健康情報の解析処理などが行われる。
(Embodiment 3)
Hereinafter, Embodiment 3 of the present invention will be described in detail with reference to the drawings. The components that are basically the same as those in the first embodiment are designated by the same reference numerals to simplify the description. Also in the system using the information management terminal device according to the present embodiment, as described with reference to FIG. 1 in the first embodiment, the health information
ただし、本実施形態に係る情報管理端末装置を用いたシステムでは、データの記録や読み取りに係る処理、プログラムの改竄検出に係る処理が、実施形態1において示したものとは異なる。 However, in the system using the information management terminal device according to the present embodiment, the processes related to data recording and reading and the processes related to program tampering detection are different from those shown in the first embodiment.
<健康情報配信側デバイスの構成>
図14に、本実施形態に係る健康情報配信側デバイス1の機能ブロック図を示す。ここに示すように、本実施形態に係る健康情報配信側デバイス1は、実施形態1と同様に、SeeQVaultのような秘匿領域111と通常領域112とを有する記録メディアである配信側メディア11、エンコーダ12、配信部13、個人・資格情報認証手段14を備える。
<Health information distribution side device configuration>
FIG. 14 shows a functional block diagram of the health information
実施形態1においては、改竄検出パラメタとして、検査対象とするデータやプログラムのハッシュ値を秘匿領域111に記憶していた。これに対し、本実施形態においては、秘匿領域111に改竄検出パラメタとして署名用鍵1115を、通常領域112に健康情報通帳1123や健康情報1124の電子署名1125をそれぞれ有する。
In the first embodiment, the hash value of the data to be inspected or the program is stored in the
本実施形態においては、改竄検出の対象とするデータやプログラムのハッシュ値そのものは通常領域112に蓄積する。そして、これらのハッシュ値に暗号化を行い、電子署名を生成するための署名用鍵1115を、改竄検出パラメタとして秘匿領域111に保持する。なお、本実施形態においては、公開鍵暗号技術を用いるために秘密鍵と公開鍵のペアを署名用鍵1115として保持し、そのうちの公開鍵を署名用鍵として用いる場合を例示する。あるいは、秘密鍵のみを署名用鍵1115として保持し、それとペアになる公開鍵については、必要に応じて図示しない外部のサーバ等から取得可能な構成としてもよい。
In the present embodiment, the hash value itself of the data to be detected for tampering and the program is stored in the
また、データの暗号化について、共通鍵暗号方式を用い、データ暗号鍵1113として共通鍵を保持するような構成であってもよいし、データの暗号化についても公開鍵暗号方式を用い、データ暗号鍵1113として秘密鍵と公開鍵のペアを保持するような構成としてもよい。あるいは、秘密鍵のみをデータ暗号鍵1113として保持し、それとペアになる公開鍵については、必要に応じて図示しない外部のサーバ等から取得可能な構成としてもよい。
Further, the data may be encrypted by using a common key encryption method and holding the common key as the
また、本実施形態においても、通常領域112に含まれる各情報を、それらの実体に代えて、ネットワークNWを介して通信可能なサーバ装置や、健康情報配信側デバイス1の備える記憶部などへのリンクの形態で保持するような構成としてもよい。
Further, also in the present embodiment, each information contained in the
<健康情報受信/解析側デバイスの構成>
図15に、本実施形態に係る健康情報受信/解析側デバイス2の機能ブロック図を示す。ここに示すように、本実施形態に係る健康情報受信/解析側デバイス2は、実施形態1と同様に、SeeQVaultのような秘匿領域111と通常領域112とを有する記録メディアである配信側メディア11、送受信部22、デコーダ23、個人・資格情報認証手段24を備える。
<Health information reception / analysis side device configuration>
FIG. 15 shows a functional block diagram of the health information receiving / analyzing
そして、先に図14を参照して説明した本実施形態に係る健康情報配信側デバイス1と同様に、秘匿領域211に改竄検出パラメタとして署名用鍵2115を、通常領域112に健康情報通帳/健康情報2123や解析結果情報2124の電子署名2125をそれぞれ有する。
Then, similarly to the health information
なお、ここでの署名用鍵2115についても、先に説明した健康情報配信側デバイス1における署名用鍵1115と同様、秘密鍵と公開鍵のペアを署名用鍵2115として保持し、そのうちの公開鍵を署名用鍵として用いる場合を例示する。あるいは、秘密鍵のみを署名用鍵2115として保持し、それとペアになる公開鍵については、必要に応じて図示しない外部のサーバ等から取得可能な構成としてもよい。
As for the signing key 2115 here, the pair of the private key and the public key is held as the signing key 2115 as in the signing key 1115 in the health information
ここでのデータ暗号鍵2113についても、先に説明した健康情報配信側デバイス1におけるデータ暗号鍵1113と同様、データの暗号化に共通鍵暗号方式を用いるものとし、データ暗号鍵2113として共通鍵を保持するような構成としてもよいし、データの暗号化に公開鍵暗号方式を用いるものとして、データの暗号化に用いる秘密鍵と公開鍵のペア、あるいは秘密鍵のみを、データ暗号鍵2113として保持するような構成としてもよい。
As for the
また、本実施形態においても、通常領域212に含まれる各情報を、それらの実体に代えて、ネットワークNWを介して通信可能なサーバ装置や、健康情報受信/解析側デバイス2の備える記憶部などへのリンクの形態で保持するような構成としてもよい。このような構成とすれば、受信/解析側メディア21の記憶容量が限られるような場合においても、多くの情報の蓄積が可能となる。
Further, also in the present embodiment, a server device capable of communicating each information included in the
<メディアファイルシステムによるファイルの記録/読み出し処理>
本実施形態に係る健康情報配信側デバイス1、及び健康情報受信/解析側デバイス2においては、署名用鍵1115、2115を改竄検出パラメタとして用いたデータの読み書きが行われる。図16(a)は、本実施形態におけるデータの記録処理を示すフローチャートである。
<File recording / reading processing by the media file system>
In the health information
まず、ステップS1001において、データのデータ暗号鍵1113による暗号化が行われる。そして、それによって得られた暗号化済データが、ステップS1002で通常領域112あるいは212へと記録される。
First, in step S1001, the data is encrypted with the
そして、続くステップS1003において、暗号化済データのハッシュ値の算出を行う。ここでは、予め定められた任意のハッシュ関数を用いた処理を行えばよい。ステップS1003において算出されたデータのハッシュ値は、ステップS1004で、署名用鍵1115あるいは署名用鍵2115の、公開鍵で暗号化される。これはすなわち、暗号化済データに対し、署名用鍵1115、2115を用いた電子署名を付与する処理である。
Then, in the following step S1003, the hash value of the encrypted data is calculated. Here, processing using an arbitrary predetermined hash function may be performed. The hash value of the data calculated in step S1003 is encrypted with the public key of the signature key 1115 or the signature key 2115 in step S1004. That is, this is a process of assigning a digital signature to the encrypted data using the
最後に、ステップS1005において、電子署名を通常領域112あるいは212へと記録し、データの記録処理は終了する。
Finally, in step S1005, the electronic signature is recorded in the
このように、ハッシュ値そのものではなく、ハッシュ値を暗号化して電子署名を生成するための署名用鍵を改竄検出パラメタとして秘匿領域111,211に保持する構成とすることで、秘匿領域111,211に対して記録できるデータ量が小容量に限られる場合においても、後に改竄検出処理を行うことが可能な形態でデータの蓄積を行うことができる。
In this way, the
続いて、図16(b)を参照して、本実施形態におけるデータの読み出し処理について説明する。まず、ステップS1101において、読み出し対象である暗号化済データのハッシュ値を算出する。 Subsequently, the data reading process in the present embodiment will be described with reference to FIG. 16 (b). First, in step S1101, the hash value of the encrypted data to be read is calculated.
そして、続くステップS1102で、暗号化済みデータに付された電子署名の復号を行う。ここで、先に述べたように、本実施形態においては、公開鍵暗号技術を用い、秘密鍵/公開鍵のペアのうちの公開鍵を署名用鍵として用いる場合を例示している。そのため、ここでの電子署名の復号には、データの記録処理におけるステップS1004で電子署名の作成に用いた公開鍵とペアになる秘密鍵を用いる。 Then, in the following step S1102, the electronic signature attached to the encrypted data is decrypted. Here, as described above, in the present embodiment, a case where a public key cryptosystem is used and a public key among a private key / public key pair is used as a signing key is illustrated. Therefore, for decrypting the electronic signature here, a private key paired with the public key used for creating the electronic signature in step S1004 in the data recording process is used.
ステップS1103で、ステップS1101において暗号化済データから算出したハッシュ値と、ステップS1102において電子署名を復号して得られたハッシュ値の比較を行う。ここで、これらのハッシュ値が同一であると判定された場合には、データの改竄はされていないものと判定され、ステップS1104からステップS1105へと進み、データの復号を行う。 In step S1103, the hash value calculated from the encrypted data in step S1101 is compared with the hash value obtained by decrypting the electronic signature in step S1102. Here, when it is determined that these hash values are the same, it is determined that the data has not been tampered with, and the process proceeds from step S1104 to step S1105 to decode the data.
ここで、データの暗号化に共通鍵方式を用いているのであれば、データを暗号化した際に使用した鍵と同一の鍵による復号を行えばよい。あるいは、データの暗号化に公開鍵方式を用いているのであれば、データの暗号化に用いた公開鍵(あるいは秘密鍵)のペアである秘密鍵(あるいは公開鍵)によって復号を行えばよい。 Here, if a common key method is used for data encryption, decryption may be performed using the same key as the key used when the data was encrypted. Alternatively, if the public key method is used for data encryption, decryption may be performed using the private key (or public key) which is a pair of the public key (or private key) used for data encryption.
一方で、ステップS1103におけるハッシュ値の比較の結果、ハッシュ値が一致しないと判定された場合には、データの改竄の恐れがある。そのため、ステップS1104よりステップS1106へと進み、データの削除や回復等の処理を行う。ここでのデータの回復は、例えば予め所定のサーバにデータのバックアップを取っておき、それを取得するなど、任意の方法によって行えばよい。また、まずデータの回復を試み、失敗した場合にはデータの削除のみを行う、といった処理を行ってもよい。 On the other hand, if it is determined that the hash values do not match as a result of comparing the hash values in step S1103, there is a risk of falsification of the data. Therefore, the process proceeds from step S1104 to step S1106 to perform processing such as data deletion and recovery. The data recovery here may be performed by any method, for example, backing up the data to a predetermined server in advance and acquiring the data. Further, the data may be recovered first, and if the data is unsuccessful, only the data may be deleted.
以上のようにしてデータの記録と読み出しを行うことで、改竄検出パラメタとして署名用鍵1115,2115を用い、改竄を検出可能な状態でデータを取り扱うことができる。
By recording and reading the data as described above, the
<プログラムの改竄検出処理>
次に、図17に示すフローチャートを参照し、本実施形態におけるプログラムの改竄検出処理について説明する。これは、健康情報配信側デバイス1におけるエンコーダプログラムファイル1121や配信プログラムファイル1122、健康情報受信/解析側デバイス2における送受信プログラムファイル2121やデコーダプログラムファイル2122の改竄検出処理の流れを示すものである。
<Program tampering detection processing>
Next, the tampering detection process of the program in the present embodiment will be described with reference to the flowchart shown in FIG. This shows the flow of tampering detection processing of the
まず、ステップS1201において、検査対象とするプログラムのハッシュ値の算出を行う。そして、ステップS1202で、検査対象とするプログラムの電子署名を取得する。ここで、電子署名は、予めプログラムと併せて通常領域112、212に記録されるものであってもよいし、プログラムの改竄検出処理を行う際に外部のサーバ等から適宜受信するような形態としてもよい。ここで取得する電子署名は、正規のプログラムから算出されたハッシュ値が、署名用鍵1115あるいは署名用鍵1115の、公開鍵によって暗号化されたものである。
First, in step S1201, the hash value of the program to be inspected is calculated. Then, in step S1202, the electronic signature of the program to be inspected is acquired. Here, the electronic signature may be previously recorded in the
そして、ステップS1203で電子署名を復号する。ここでの復号には、署名用鍵1115あるいは署名用鍵1115の、秘密鍵を用いる。これにより、検査対象とするプログラムのハッシュ値が得られる。
Then, the electronic signature is decrypted in step S1203. For decryption here, the private key of the signature key 1115 or the
ステップS1204で、ステップS1201において検査対象とするプログラムから算出したハッシュ値と、ステップS1203において電子署名を復号して得られたハッシュ値の比較を行う。ここで、これらのハッシュ値が同一であると判定された場合には、プログラムの改竄は行われていないと判定され、ステップS1205から処理が終了する。 In step S1204, the hash value calculated from the program to be inspected in step S1201 is compared with the hash value obtained by decoding the electronic signature in step S1203. Here, when it is determined that these hash values are the same, it is determined that the program has not been tampered with, and the process ends from step S1205.
一方で、ステップS1204におけるハッシュ値の比較の結果、ハッシュ値が一致しないと判定された場合には、プログラムの改竄の恐れがある。そのため、ステップS1205よりステップS1206へと進み、検査対象としたプログラムの再読み込み処理を行う。なお、ステップS1206におけるプログラムの再読み込み処理は、実施形態1において図4を参照して説明したような処理と同様の処理によって行えばよい。 On the other hand, if it is determined that the hash values do not match as a result of comparing the hash values in step S1204, there is a risk of falsification of the program. Therefore, the process proceeds from step S1205 to step S1206 to reload the program to be inspected. The program reloading process in step S1206 may be performed by the same process as that described with reference to FIG. 4 in the first embodiment.
<デバイス間でのデータのやり取り>
本実施形態に係る情報管理端末装置におけるデータ暗号鍵1113,2113、署名用鍵1115,2115は、デバイスごとに異なるよう構成されることが好ましい。このような構成とする場合、改竄検出パラメタ秘匿化配信手段136,226を用いて、データ暗号鍵や署名用鍵のやり取りを行うことで、デバイス間でよりセキュアな情報のやり取りを行うことができる。
<Data exchange between devices>
It is preferable that the
ここで、データの暗号化に公開鍵暗号方式を用い、デバイス間でデータのやり取りを行う際の手順を説明する。図18に、一例として、健康情報配信側デバイス1から健康情報受信/解析側デバイス2aへとデータの送信を行う場合の処理の流れを示す。なお、ここでは、データの暗号化に公開鍵暗号方式を採用する場合の例を示す。
Here, a procedure for exchanging data between devices using a public key cryptosystem for data encryption will be described. FIG. 18 shows, as an example, the flow of processing when data is transmitted from the health information
まず、ステップS1301において、健康情報受信/解析側デバイス2aより健康情報配信側デバイス1へ、健康情報受信/解析側デバイス2aの保持する署名用鍵2115に含まれる署名用公開鍵、データ暗号鍵2113に含まれるデータ暗号用公開鍵を健康情報配信側デバイス1へと送信する。これは、健康情報受信/解析側デバイス2aより健康情報配信側デバイス1へとデータの送信を依頼する処理として開始されてもよいし、あるいは、健康情報配信側デバイス1より健康情報受信/解析側デバイス2aへとデータの受け入れの依頼を行い、それに対する応答として開始されてもよい。
First, in step S1301, the signing public key and
続くステップS1302で、健康情報配信側デバイス1は、ステップS1301において受信したデータ暗号用公開鍵を用いてデータの暗号化処理を行う。そして、ステップS1303で、暗号化したデータに対し、ステップS1301において受信した署名用公開鍵を用いた伝署名の作成を行う。これはすなわち、先に図16(a)のステップS1003からS1004を参照して説明したように、暗号化済データのハッシュ値を生成し、それを署名用公開鍵によって暗号化する処理である。
In the following step S1302, the health information
そして、ステップS1304において、ステップS1302において暗号化したデータと、ステップS1303において作成した電子署名を健康情報配信側デバイス1より健康情報受信/解析側デバイス2aへと送信する。
Then, in step S1304, the data encrypted in step S1302 and the electronic signature created in step S1303 are transmitted from the health information
暗号化済データ、及びそれに対する電子署名を受信した健康情報受信/解析側デバイス2aは、それらの復号を行う。まず、ステップS1305において、電子署名の検証を行う。これはすなわち、先に図16(b)のステップS1101からS1103を参照して説明したように、暗号化済データのハッシュ値の算出と、自身の保持する電子署名用秘密鍵を用いた電子署名の復号を行い、それらの処理によって得られたハッシュ値の比較を行う処理である。そして、電子署名の検証により、データが改竄されていないと判定された場合には、ステップS1306で、自身の保持するデータ暗号用秘密鍵を用いたデータの復号を行う。
The health information receiving / analyzing
このように、署名やデータの暗号化に用いる公開鍵を、データを受信する側のデバイスからデータを送信する側のデバイスへと送信し、それを用いた暗号化済データの生成や電子署名の作成を行う処理を行う構成とすることにより、それらの公開鍵とそれぞれペアとなっている秘密鍵を保持する、データを受信する側のデバイスでのみ、データの検証と復号を行うことができる。 In this way, the public key used for signing and data encryption is transmitted from the device that receives the data to the device that sends the data, and the encrypted data is generated and digitally signed using the public key. By configuring the process for creating data, data verification and decryption can be performed only on the device on the receiving side that holds the private key paired with those public keys.
また、データの暗号化に共通鍵暗号方式を用いるような場合であれば、ステップS1301において健康情報受信/解析側デバイス2aの保持するデータ暗号鍵2113を健康情報配信側デバイス1へと送信し、ステップS1302における暗号化と、ステップS1306における復号に、データ暗号鍵2113を用いるような処理とすればよい。
If a common key encryption method is used for data encryption, the
なお、ここでは、健康情報配信側デバイス1より健康情報受信/解析側デバイス2aへとデータの送信を行う処理の例を示したが、例えば、この後に健康情報受信/解析側デバイスにおいてデータの解析を行い、その結果を健康情報配信側デバイス1へと送信する場合には、データの送信側と受信側の入れ替えて同様の処理を行えばよい。
Here, an example of a process of transmitting data from the health information
以上のように、本実施形態に係る情報管理端末装置を用いたシステムによれば、秘匿領域に改竄検出パラメタとして署名用鍵1115,2115を保持し、それを用いて作成した電子署名を用いてデータやプログラムの改竄検出処理を行う構成とすることにより、秘匿領域の容量が限られるような記録メディアについても、配信側メディア11や受信/解析側メディアとして用いることができる。
As described above, according to the system using the information management terminal device according to the present embodiment, the
また、デバイスごとに異なる署名用鍵やデータ暗号鍵を用意する構成とし、データの送受信の際に事前に受信側のデバイスから送信側のデバイスへと公開鍵を送信する処理を行うことで、データの受信側のデバイスでのみ検証、復号が可能な状態で、より安全にデータの送受信を行うことができる。 In addition, data is configured by preparing a different signing key and data encryption key for each device, and by performing a process of transmitting the public key from the receiving device to the transmitting device in advance when sending and receiving data. Data can be sent and received more safely in a state where verification and decryption are possible only with the device on the receiving side.
1 健康情報配信側デバイス
11 配信側メディア
111 秘匿領域
1111 デバイス認証手段
1112 メディアファイルシステム制御情報
1113 データ暗号鍵
1114 改竄検出パラメタ
1115 署名用鍵
112 通常領域
1121 エンコーダプログラムファイル
1122 配信プログラムファイル
1123 健康情報通帳
1124 健康情報
1125 電子署名
113 メディア識別子
12 エンコーダ
121 メディア認証手段
122 メディアファイルシステム
123 改竄検出手段
124 エンコーダプログラム
1241 センサ認証手段
1242 健康情報取得手段
1243 健康情報蓄積手段
13 配信部
131 メディア認証手段
132 メディアファイルシステム
133 改竄検出手段
134 配信プログラム
1341 健康情報コンテナ生成手段
1342 健康情報コンテナ配信手段
135 情報配信先・秘匿レベル指定入力受付手段
136 改竄検出パラメタ秘匿化配信手段
14 個人・資格情報認証手段
15 秘匿情報一時記憶部
2 健康情報受信/解析側デバイス
21 受信/解析側メディア
211 秘匿領域
2111 デバイス認証手段
2112 メディアファイルシステム制御情報
2113 データ暗号鍵
2114 改竄検出パラメタ
2115 署名用鍵
212 通常領域
2121 送受信プログラムファイル
2122 デコーダプログラムファイル
2123 健康情報通帳/健康情報
2124 解析結果情報
2125 電子署名
213 メディア識別子
22 送受信部
221 メディア認証手段
222 メディアファイルシステム
223 改竄検出手段
224 送受信プログラム
2241 健康/解析情報コンテナ受信手段
2242 健康/解析情報コンテナ開封手段
2243 解析情報コンテナ送信手段
225 秘匿レベル判定手段
226 改竄検出パラメタ秘匿化配信手段
23 デコーダ
231 メディア認証手段
232 メディアファイルシステム
233 改竄検出手段
234 デコーダプログラム
2341 閲覧制御手段
2342 健康情報解析手段
24 個人・資格情報認証手段
25 秘匿情報一時記憶部
3 端末装置
4 センサ
5 管理サーバ装置
NW ネットワーク
1 Health information distribution side device 11 Distribution side media 111 Confidential area 1111 Device authentication means 1112 Media file System control information 1113 Data encryption key 1114 Manipulation detection parameter 1115 Signing key 112 Normal area 1121 Encoder program file 1122 Distribution program file 1123 Health information passbook 1124 Health information 1125 Electronic signature 113 Media identifier 12 Encoder 121 Media authentication means 122 Media file system 123 Manipulation detection means 124 Manipulation detection means 124 Encoder program 1241 Sensor authentication means 1242 Health information acquisition means 1243 Health information storage means 13 Distribution unit 131 Media authentication means 132 Media file System 133 Manipulation detection means 134 Distribution program 1341 Health information container generation means 1342 Health information container distribution means 135 Information distribution destination / concealment level designation input reception means 136 Manipulation detection parameter concealment distribution means 14 Personal / credential information authentication means 15 Confidential information temporary Storage unit 2 Health information reception / analysis side device 21 Reception / analysis side media 211 Confidential area 2111 Device authentication means 2112 Media file system control information 2113 Data encryption key 2114 Manipulation detection parameter 2115 Signing key 212 Normal area 2121 Transmission / reception program file 2122 Decoder Program file 2123 Health information passbook / Health information 2124 Analysis result information 2125 Electronic signature 213 Media identifier 22 Transmission / reception unit 221 Media authentication means 222 Media file system 223 Manipulation detection means 224 Transmission / reception program 2241 Health / analysis information container Receiving means 2242 Health / analysis information Container opening means 2243 Analysis information container transmission means 225 Concealment level determination means 226 Manipulation detection parameter Concealment distribution means 23 Decoder 231 Media authentication means 232 Media file system 233 Manipulation detection means 234 Decoder program 2341 Browsing control means 2342 Health information analysis means 24 Individual -Credential authentication means 25 Confidential information temporary storage 3 Terminal device 4 Sensor 5 Management server device NW network
Claims (10)
前記蓄積メディアが、前記情報管理端末装置を前記情報蓄積手段として動作させるプログラムを含む特定プログラムのみがアクセス可能な秘匿領域と、前記特定プログラム以外のプログラムもアクセス可能な通常領域と、を有し、
前記情報蓄積手段が、前記第1の情報又は前記第1の情報を参照可能なリンクと、前記第2の情報又は前記第2の情報を参照可能なリンクの前記通常領域への逐次的な蓄積を行い、
前記秘匿領域が、前記第1の情報及び/又は前記第2の情報の改竄を検出するためのデータ改竄検出パラメタを保持し、
前記情報蓄積手段で蓄積した前記第1の情報及び前記第2の情報から配信対象情報を選択して出力する配信手段を更に備え、
前記第2の情報が、前記配信手段による出力の履歴、前記配信手段による出力先を特定する情報のうち、少なくとも一つを含むことを特徴とする、情報管理端末装置。 An information acquisition means for acquiring the first information to be managed, an information storage means for accumulating the first information and a second information which is additional information to the first information, and a storage medium. It is an information management terminal device that is provided.
The storage medium has a secret area that can be accessed only by a specific program including a program that operates the information management terminal device as the information storage means, and a normal area that can be accessed by programs other than the specific program.
The information storage means sequentially stores the first information or the link that can refer to the first information and the link that can refer to the second information or the second information in the normal region. And
The concealed area holds a data tampering detection parameter for detecting tampering with the first information and / or the second information.
Further provided with a distribution means for selecting and outputting distribution target information from the first information and the second information accumulated by the information storage means.
An information management terminal device, wherein the second information includes at least one of an output history by the distribution means and information specifying an output destination by the distribution means.
前記プログラム改竄検出パラメタを用いた前記特定プログラムの改竄検出処理を行う、プログラム改竄検出手段を備えることを特徴とする、請求項1又は請求項2に記載の情報管理端末装置。 The concealed area includes a program tampering detection parameter for detecting tampering with the specific program.
The information management terminal device according to claim 1 or 2, further comprising a program tampering detection means that performs tampering detection processing of the specific program using the program tampering detection parameter.
前記特定プログラムの改竄を検出した際に、前回の前記特定プログラムの改竄検出処理を実行した時点から前記プログラムの改竄を検出した時点までに蓄積された前記第1の情報及び前記第2の情報の削除又は回復を行うことを特徴とする、請求項3に記載の情報管理端末装置。 The program tampering detection means periodically performs tampering detection processing of the specific program,
When the falsification of the specific program is detected, the first information and the second information accumulated from the time when the previous falsification detection process of the specific program is executed to the time when the falsification of the program is detected. The information management terminal device according to claim 3, wherein the information management terminal device is deleted or restored.
前記データ改竄検出手段が前記第1の情報及び/又は前記第2の情報の改竄を検出した際に、前回の前記第1の情報及び/又は前記第2の情報の改竄検出処理を実行した時点から前記第1の情報及び/又は前記第2の情報の改竄を検出した時点までに蓄積された前記第1の情報及び前記第2の情報の削除又は回復を行うことを特徴とする、請求項1から請求項4の何れかに記載の情報管理端末装置。 A data tampering detection means for performing tampering detection processing of the first information and / or the second information using the data tampering detection parameter is provided.
When the data tampering detecting means detects falsification of the first information and / or the second information, the time when the previous falsification detection process of the first information and / or the second information is executed. The first information and / or the second information accumulated up to the time when the falsification of the second information is detected is deleted or recovered from the first information and / or the second information. The information management terminal device according to any one of 1 to 4.
前記配信対象情報を暗号化せずに送信するクラス0と、
前記配信対象情報の暗号化を行った状態で送信するクラス1と、
前記配信対象情報を暗号化し、出力先での複製を禁止し、前記配信対象情報の有効期限を設定して送信するクラス2と、
前記配信対象情報を暗号化し、出力先での複製の禁止、前記配信対象情報に対する任意の処理によって生じる処理結果情報の取り扱いの制限、前記配信対象情報の有効期限を設定して送信するクラス3と、を含むことを特徴とする、請求項6に記載の情報管理端末装置。 The confidentiality level is
Class 0, which transmits the distribution target information without encryption, and
Class 1 to be transmitted with the distribution target information encrypted, and
Class 2 that encrypts the distribution target information, prohibits duplication at the output destination, sets the expiration date of the distribution target information, and transmits the information.
Class 3 that encrypts the distribution target information, prohibits duplication at the output destination, restricts the handling of processing result information caused by arbitrary processing on the distribution target information, sets an expiration date of the distribution target information, and transmits the class 3. The information management terminal device according to claim 6, wherein the information management terminal device comprises.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2017053383 | 2017-03-17 | ||
JP2017053383 | 2017-03-17 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017251060A Division JP6721248B2 (en) | 2017-03-17 | 2017-12-27 | Information management terminal |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2020166883A JP2020166883A (en) | 2020-10-08 |
JP2020166883A5 JP2020166883A5 (en) | 2021-02-12 |
JP7074371B2 true JP7074371B2 (en) | 2022-05-24 |
Family
ID=63715689
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017251060A Active JP6721248B2 (en) | 2017-03-17 | 2017-12-27 | Information management terminal |
JP2020103046A Active JP7074371B2 (en) | 2017-03-17 | 2020-06-15 | Information management terminal device |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017251060A Active JP6721248B2 (en) | 2017-03-17 | 2017-12-27 | Information management terminal |
Country Status (1)
Country | Link |
---|---|
JP (2) | JP6721248B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6721248B2 (en) * | 2017-03-17 | 2020-07-08 | 株式会社ミルウス | Information management terminal |
JP6676713B2 (en) * | 2018-08-23 | 2020-04-08 | 東芝映像ソリューション株式会社 | Transmitter for digital television broadcasting |
JP2021033541A (en) * | 2019-08-21 | 2021-03-01 | 本田技研工業株式会社 | Communication system |
JP6897743B2 (en) | 2019-10-15 | 2021-07-07 | 日本電気株式会社 | Data management device and data management method |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007023657A1 (en) | 2005-08-26 | 2007-03-01 | Mitsubishi Electric Corporation | Information storage device, information storage program, verification device and information storage method |
JP2008004018A (en) | 2006-06-26 | 2008-01-10 | Senken Co Ltd | System and method for managing personal information-confidential information |
JP2008257381A (en) | 2007-04-03 | 2008-10-23 | Sony Corp | Information analyzing system, information analyzing device, information analyzing method, information analyzing program, and recording medium |
JP2010102579A (en) | 2008-10-24 | 2010-05-06 | Hitachi Ltd | Information processor and computer program |
JP2012249035A (en) | 2011-05-27 | 2012-12-13 | Sony Corp | Information processor, information processing method and program |
JP6721248B2 (en) | 2017-03-17 | 2020-07-08 | 株式会社ミルウス | Information management terminal |
-
2017
- 2017-12-27 JP JP2017251060A patent/JP6721248B2/en active Active
-
2020
- 2020-06-15 JP JP2020103046A patent/JP7074371B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007023657A1 (en) | 2005-08-26 | 2007-03-01 | Mitsubishi Electric Corporation | Information storage device, information storage program, verification device and information storage method |
JP2008004018A (en) | 2006-06-26 | 2008-01-10 | Senken Co Ltd | System and method for managing personal information-confidential information |
JP2008257381A (en) | 2007-04-03 | 2008-10-23 | Sony Corp | Information analyzing system, information analyzing device, information analyzing method, information analyzing program, and recording medium |
JP2010102579A (en) | 2008-10-24 | 2010-05-06 | Hitachi Ltd | Information processor and computer program |
JP2012249035A (en) | 2011-05-27 | 2012-12-13 | Sony Corp | Information processor, information processing method and program |
JP6721248B2 (en) | 2017-03-17 | 2020-07-08 | 株式会社ミルウス | Information management terminal |
Also Published As
Publication number | Publication date |
---|---|
JP2020166883A (en) | 2020-10-08 |
JP2018156633A (en) | 2018-10-04 |
JP6721248B2 (en) | 2020-07-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7074371B2 (en) | Information management terminal device | |
CN104662870B (en) | Data safety management system | |
US8938625B2 (en) | Systems and methods for securing cryptographic data using timestamps | |
JP4668619B2 (en) | Device key | |
TWI288932B (en) | Portable data storage device with encryption system | |
JP5623388B2 (en) | Secure data cache | |
EP2890046A1 (en) | Information processing device, information storage device, server, information processing system, information processing method, and program | |
EP3376426B1 (en) | Information management terminal device | |
EP1630998A1 (en) | User terminal for receiving license | |
US20130004142A1 (en) | Systems and methods for device authentication including timestamp validation | |
KR20050123105A (en) | Data protection management apparatus and data protection management method | |
JP2001027964A (en) | Data storing method, system therefor and recording medium for data storage processing | |
CN103731395A (en) | Processing method and system for files | |
CN104239820A (en) | Secure storage device | |
JP4012771B2 (en) | License management method, license management system, license management program | |
KR100440037B1 (en) | Document security system | |
JP3597704B2 (en) | IC card and recording medium | |
JP2005197912A (en) | Method and program for information disclosure control and tamper resistant instrument | |
JP4947562B2 (en) | Key information management device | |
KR20190040772A (en) | Apparatus for storing device data in internet of things environment and method for the same | |
JP4673150B2 (en) | Digital content distribution system and token device | |
CN110233828B (en) | Mobile office method and device based on block chain | |
JP6778033B2 (en) | Take-out file simple encryption system and take-out file simple encryption program | |
WO2007099717A1 (en) | Data processing system, and portable memory | |
KR20200090056A (en) | Method for controlling access to files online |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201228 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20201228 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220222 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220314 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220412 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220502 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7074371 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |